다음 두 헤더의 차이점은 정확히 무엇입니까?
Authorization : Bearer cn389ncoiwuencr vs Authorization : cn389ncoiwuencr 모든 소스 내가 살펴본 것은 “Authorization”헤더의 값을 “Bearer”로 설정 한 다음 실제 토큰을 따릅니다. 그러나 나는 그것의 중요성을 이해할 수 없었다. Authorization 헤더에 토큰을 넣으면 어떻게 되나요?
코멘트
- 기본 또는 다이제스트 . ' 그들을 구별 할 수있는 것이 좋다고 생각합니다.
- 질문은 특히 토큰 기반 인증에 관한 것입니다. 일반적으로 기본 인증 후에 수행되므로 사용자가 ' 요청할 때마다 사용자 이름과 비밀번호를 제공 할 필요가 없습니다.
- 저도 비슷한 질문이있었습니다. 저는 Oauth 2.0을 완전히 준수하지 않는 단기 토큰 구현을위한 체계를 선택하고 싶었습니다. 프록시 ' 및 서버 ' 해석에 문제를 일으키지 않고 Bearer 또는 비표준 값을 사용할 수 있는지 궁금합니다. 내가 가장 가까운 답을 찾은 것은 stackoverflow.com/questions/7802116/ … 및 stackoverflow.com/questions/8463809/ …
- 서버가 일반적으로 동일한 경로를 통해 토큰을 반환합니까? 즉, " 승인 : HTTP 응답의 전달자 "? 아니면 거의 항상 응답 본문의 일부입니까?
- 이 MDN의 HTTP 인증 페이지 는 토론에 매우 유용합니다.
답변
Authorization: <type> <credentials> 패턴은 W3C에서 HTTP 1.0 이며 이후 여러 곳에서 재사용되었습니다. 많은 웹 서버가 여러 인증 방법을 지원합니다. 이 경우 토큰 만 보내는 것만으로는 충분하지 않습니다.
Authorization : Bearer cn389ncoiwuencr 형식을 사용하는 사이트는 OAuth 2.0을 구현할 가능성이 높습니다. div id = “183e1884b6″>
bearer tokens . OAuth 2.0 인증 프레임 워크 는 인증을 안전하게 유지하기위한 여러 다른 요구 사항을 설정합니다. 예를 들어 HTTPS / TLS를 사용해야합니다.
OAuth 2.0을 사용하는 서비스와 통합하는 경우 사용중인 흐름이 다음과 같도록 프레임 워크에 익숙해지는 것이 좋습니다. 올바르게 구현되고 불필요한 취약점을 방지합니다. 온라인에서 사용할 수있는 좋은 자습서가 많이 있습니다.
댓글
- I ' MS Graph API에 익숙하지 않은 경우 구현에 문제가있을 수 있습니다.
- 그게 제가 생각한 것입니다. Bearer 토큰과 토큰에 대한 일반적인 지식을 감안할 때 보안을 확인할 수 있습니다. API가 토큰 wi를 수락한다는 사실의 의미 Bearer 키워드는 무엇입니까?
- 정말 아닙니다.하지만 그 질문에 대한 한 가지 의견에 동의합니다.이 점에서 구현이 다른 경우 다른 점은 무엇입니까? RFC와 다른 OAuth와 유사한 구현이 많이 있습니다. 하지만 자동으로 구현이 덜 안전하다는 것을 의미하지는 않습니다.
답변
베어러 승인 이전에 이 헤더는 기본 인증 에 사용되었습니다. 상호 운용성을 위해 이러한 헤더의 사용은 W3C 규범에 의해 관리되므로 “헤더를 읽고 쓰는 경우에도이를 따라야합니다. Bearer는”사용중인 권한 부여 유형을 구별하므로 중요합니다.
Answer
모든 인라인 작업 HTTP 요청의 Authorization 헤더에 Bearer 토큰이 설정되고 Bearer 자체가 인증 유형을 결정합니다.
참조 https://developers.google.com/gmail/markup/actions/verifying-bearer-tokens
댓글
- 이 답변은 모든 웹 개발자가 아닌 Gmail 개발자에게만 해당됩니다. ' 작업 '은 Gmail 개념.