【问题标题】:Why should I send token in `Authorization: Bearer ` header?为什么我应该在 `Authorization: Bearer` 标头中发送令牌?
【发布时间】:2019-04-29 11:05:45
【问题描述】:

我是 API 开发的新手。目前我在请求正文中传递了我的访问/身份验证令牌。例如,

{
status:true,
token:"<thetoken>"
}

但是,当我提到 API 安全性时,他们使用 Authorization 标头来传递令牌。

我的问题是,如果我在请求正文中发送令牌,会发生什么或出了什么问题?

-- 谢谢❤ ---

【问题讨论】:

  • 这是 OAuth 等授权方法的常见做法。 API 可以在接受内容之前对请求进行授权。这可以通过不接受未经其标头验证的请求来节省一些处理开销。您是否正在编写自己的 API?
  • @tshimkus 是的,我正在编写自己的 API

标签: api security authentication authorization jwt


【解决方案1】:

首先,保护 API 端点是一项已解决的任务。我建议您不要发明自己的授权协议,而是查看现有的行业标准,例如 OAuth 2.0 授权框架 (RFC 6749)。

出于多种原因,遵循标准是有意义的:

  • 它们广为人知并经过实战考验
  • 提供参考实现和库
  • 您可以站在巨人的肩膀上,专注于您的业务逻辑

但是,在请求正文中发送访问令牌并没有错。在RFC 6750 中,OAuth 2.0 协议定义了所有可能的不记名令牌用法,包括将令牌作为Form-Encoded Body Parameter 发送。请务必仔细阅读并考虑安全因素。

长话短说:只要您遵守标准,您如何分发访问令牌并不重要。

【讨论】:

    猜你喜欢
    • 2019-12-31
    • 1970-01-01
    • 2021-11-04
    • 2018-10-23
    • 1970-01-01
    • 2017-11-26
    • 2019-01-01
    • 2019-06-19
    • 2021-09-30
    相关资源
    最近更新 更多