次の2つのヘッダーの違いは正確には何ですか:
Authorization : Bearer cn389ncoiwuencr vs Authorization : cn389ncoiwuencr
すべてのソース私が経験したことですが、「Authorization」ヘッダーの値を「Bearer」の後に実際のトークンとして設定します。しかし、その意義が理解できませんでした。トークンをAuthorizationヘッダーに入れるとどうなりますか?
コメント
- http認証には、基本やその他の方法があります。 ダイジェスト。 'それらを区別できるのは良いことだと思います。
- 質問は特にトークンベースの認証についてです。これは通常、基本認証の後に行われるため、ユーザーは'リクエストごとにユーザー名とパスワードを入力する必要はありません。
- 同様の質問がありました。 Oauth 2.0に完全には準拠していない、短期間のトークン実装のスキームを選択したかったのです。プロキシ'とサーバー'の解釈に問題を起こすことなく、Bearerまたは非標準値を使用できるかどうか疑問に思いました。答えを見つけるのに最も近かったのは、 stackoverflow.com/questions/7802116/ … と stackoverflow.com/questions/8463809/ …
- サーバーは通常、同じルートでトークンを返しますかつまり、"承認:HTTP応答のベアラー"?それとも、ほとんどの場合、応答本文の一部ですか?
- この MDNのHTTP認証ページはディスカッションに非常に役立ちます。
回答
Authorization: <type> <credentials>
パターンは、W3Cによって
HTTP 1.0 であり、それ以来多くの場所で再利用されています。多くのWebサーバーは、複数の認証方法をサポートしています。そのような場合、トークンだけを送信するだけでは不十分です。
Authorization : Bearer cn389ncoiwuencr
形式を使用するサイトはおそらくOAuth2.0を実装していますベアラートークン。 OAuth 2.0認証フレームワークは、認証を安全に保つために他の多くの要件を設定します。たとえば、HTTPS / TLSの使用が必要です。
OAuth 2.0を使用しているサービスと統合する場合は、フレームワークに精通して、使用しているフローが次のようになるようにすることをお勧めします。正しく実装され、不要な脆弱性を回避します。オンラインで利用できる優れたチュートリアルが多数あります。
コメント
- I ' MS Graph APIに精通していないため、実装の癖かもしれません。
- それが私が考えていたものです。ベアラートークンとトークン全般についての知識があれば、セキュリティを確認できますか? APIがトークンwiを受け入れるという事実による影響Bearerキーワードはありませんか?
- そうではありませんが、その質問の1つのコメントに同意します。この点で実装が異なる場合、他に何が異なりますか?そうは言っても、RFCから逸脱したOAuthのような実装がいくつかあります。ただし、実装の安全性が低いことを自動的に意味するわけではありません。
回答
ベアラ認証のずっと前に、このヘッダーは、基本認証に使用されました。相互運用性のために、これらのヘッダーの使用はW3C基準に準拠しているため、「ヘッダーの読み取りと書き込みを行っている場合でも、それらに従う必要があります。Bearerは、使用している認証の種類を区別するため、重要です。
回答
ベアラートークンはすべてのインラインアクションHTTPリクエストのAuthorizationヘッダーに設定され、ベアラー自体が認証のタイプを決定します。
Ref https://developers.google.com/gmail/markup/actions/verifying-bearer-tokens
コメント
- この回答は、すべてのWeb開発者ではなく、gmail開発者に固有です。'アクション'はgmailのコンセプト。