Hva er egentlig forskjellen mellom følgende to overskrifter:
Authorization : Bearer cn389ncoiwuencr vs Authorization : cn389ncoiwuencr
Alle kildene som jeg har gått igjennom, setter verdien av «Authorization» -overskriften som «Bearer» etterfulgt av selve tokenet. Imidlertid har jeg ikke klart å forstå betydningen av det. Hva om jeg bare legger tokenet i autorisasjonsoverskriften?
Kommentarer
- Det er andre metoder for http-autentisering, som basic eller fordøye . Jeg antar at det ' er hyggelig å kunne skille dem ut.
- Spørsmålet handler spesifikt om tokenbasert autentisering, som vanligvis gjøres etter grunnleggende autentisering slik at brukeren trenger ikke ' ikke oppgi brukernavn og passord for hver forespørsel.
- Jeg hadde også et lignende spørsmål. Jeg ønsket å velge et opplegg for en kortvarig tokenimplementering, som ikke er fullt kompatibel med Oauth 2.0. Jeg lurte på om jeg kunne bruke Bearer eller noen ikke-standardverdi uten å komme i trøbbel med fullmakter ' og servere ' tolkning. Det nærmeste jeg kom til å finne et svar var: stackoverflow.com/questions/7802116/… og stackoverflow.com/questions/8463809/…
- Returnerer servere vanligvis et token via samme rute dvs. " Autorisasjon: Bærer " av HTTP-svaret? Eller er det nesten alltid en del av responsorganet?
- Denne HTTP-godkjenningssiden på MDN er veldig nyttig for diskusjonen.
Svar
Authorization: <type> <credentials>
mønsteret ble introdusert av W3C i HTTP 1.0 , og har blitt brukt mange steder siden. Mange webservere støtter flere godkjenningsmetoder. I disse tilfellene er det ikke nok å sende tokenet.
Nettsteder som bruker
Authorization : Bearer cn389ncoiwuencr
-formatet implementerer mest sannsynlig OAuth 2.0 bærertegn . OAuth 2.0 Authorization Framework setter en rekke andre krav for å holde autorisasjonen sikker, for eksempel å kreve bruk av HTTPS / TLS.
Hvis du integrerer med en tjeneste som bruker OAuth 2.0, er det lurt å bli kjent med rammeverket slik at strømmen du bruker er implementert riktig, og unngå unødvendige sårbarheter. Det finnes en rekke gode opplæringsprogrammer tilgjengelig online.
Kommentarer
- I ' Jeg er ikke kjent med MS Graph API, kan være en særeie for implementeringen av dem.
- Det var det jeg tenkte. Gitt din kunnskap om Bearer Tokens og tokens generelt, kan du se noen sikkerhet implikasjoner av det faktum at API aksepterer token wi om bærer-nøkkelordet?
- Ikke egentlig, men jeg er enig i en kommentar i det spørsmålet – hvis implementeringen av dem er forskjellig på dette punktet, hva er annet? Når det er sagt, er det en rekke OAuth-lignende implementeringer der ute som avviker fra RFC-ene. Det betyr ikke automatisk at implementeringene deres er mindre sikre.
Svar
Langt før bærerautorisasjon, denne overskriften ble brukt til Grunnleggende autentisering . For interoperabilitet styres bruken av disse overskriftene av W3C-normer, så selv om du leser og skriver overskriften, bør du følge dem. Bearer skiller ut hvilken type autorisasjon du bruker, så det er viktig.
Svar
Et bærertoken settes i autorisasjonsoverskriften for hver Inline Action HTTP-forespørsel, og bæreren bestemmer selv hvilken type autentisering.
Ref https://developers.google.com/gmail/markup/actions/verifying-bearer-tokens
Kommentarer
- Dette svaret er spesifikt for gmail-utviklere, ikke for alle nettutviklere. En ' handling ' er en gmail-konsept.