Hvorfor kreves ' Bearer ' før tokenet i ' Autorisasjon ' header i en HTTP-forespørsel?

Hva er egentlig forskjellen mellom følgende to overskrifter:

Authorization : Bearer cn389ncoiwuencr vs Authorization : cn389ncoiwuencr 

Alle kildene som jeg har gått igjennom, setter verdien av «Authorization» -overskriften som «Bearer» etterfulgt av selve tokenet. Imidlertid har jeg ikke klart å forstå betydningen av det. Hva om jeg bare legger tokenet i autorisasjonsoverskriften?

Kommentarer

  • Det er andre metoder for http-autentisering, som basic eller fordøye . Jeg antar at det ' er hyggelig å kunne skille dem ut.
  • Spørsmålet handler spesifikt om tokenbasert autentisering, som vanligvis gjøres etter grunnleggende autentisering slik at brukeren trenger ikke ' ikke oppgi brukernavn og passord for hver forespørsel.
  • Jeg hadde også et lignende spørsmål. Jeg ønsket å velge et opplegg for en kortvarig tokenimplementering, som ikke er fullt kompatibel med Oauth 2.0. Jeg lurte på om jeg kunne bruke Bearer eller noen ikke-standardverdi uten å komme i trøbbel med fullmakter ' og servere ' tolkning. Det nærmeste jeg kom til å finne et svar var: stackoverflow.com/questions/7802116/… og stackoverflow.com/questions/8463809/…
  • Returnerer servere vanligvis et token via samme rute dvs. " Autorisasjon: Bærer " av HTTP-svaret? Eller er det nesten alltid en del av responsorganet?
  • Denne HTTP-godkjenningssiden på MDN er veldig nyttig for diskusjonen.

Svar

Authorization: <type> <credentials> mønsteret ble introdusert av W3C i HTTP 1.0 , og har blitt brukt mange steder siden. Mange webservere støtter flere godkjenningsmetoder. I disse tilfellene er det ikke nok å sende tokenet.

Nettsteder som bruker

Authorization : Bearer cn389ncoiwuencr 

-formatet implementerer mest sannsynlig OAuth 2.0 bærertegn . OAuth 2.0 Authorization Framework setter en rekke andre krav for å holde autorisasjonen sikker, for eksempel å kreve bruk av HTTPS / TLS.

Hvis du integrerer med en tjeneste som bruker OAuth 2.0, er det lurt å bli kjent med rammeverket slik at strømmen du bruker er implementert riktig, og unngå unødvendige sårbarheter. Det finnes en rekke gode opplæringsprogrammer tilgjengelig online.

Kommentarer

  • I ' Jeg er ikke kjent med MS Graph API, kan være en særeie for implementeringen av dem.
  • Det var det jeg tenkte. Gitt din kunnskap om Bearer Tokens og tokens generelt, kan du se noen sikkerhet implikasjoner av det faktum at API aksepterer token wi om bærer-nøkkelordet?
  • Ikke egentlig, men jeg er enig i en kommentar i det spørsmålet – hvis implementeringen av dem er forskjellig på dette punktet, hva er annet? Når det er sagt, er det en rekke OAuth-lignende implementeringer der ute som avviker fra RFC-ene. Det betyr ikke automatisk at implementeringene deres er mindre sikre.

Svar

Langt før bærerautorisasjon, denne overskriften ble brukt til Grunnleggende autentisering . For interoperabilitet styres bruken av disse overskriftene av W3C-normer, så selv om du leser og skriver overskriften, bør du følge dem. Bearer skiller ut hvilken type autorisasjon du bruker, så det er viktig.

Svar

Et bærertoken settes i autorisasjonsoverskriften for hver Inline Action HTTP-forespørsel, og bæreren bestemmer selv hvilken type autentisering.

Ref https://developers.google.com/gmail/markup/actions/verifying-bearer-tokens

Kommentarer

  • Dette svaret er spesifikt for gmail-utviklere, ikke for alle nettutviklere. En ' handling ' er en gmail-konsept.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *