【发布时间】:2021-03-18 01:54:51
【问题描述】:
身份验证方案的 IANA 注册表 (http://www.iana.org/assignments/http-authschemes/http-authschemes.xhtml) 声明承载身份验证方案是在 Oauth 协议的上下文中定义的。
在没有 OAuth 设置的情况下使用不记名令牌是否有意义? 例如:我想调用另一个公司的API;我们同意将 JWT 安全令牌添加到 API 调用的自定义方案(例如,假设您不使用 OAUTH 要求的授权服务器,我们使用另一种自定义机制)。使用 Authorization http 标头和承载身份验证方案对 JWT 进行签名和编码并添加到 API 调用。
问题不在于这是否可行,因为我知道它可以并且从安全的角度来看它已经足够好(这就是为什么我没有添加关于实际实现的太多细节)。
我的问题是关于标准的使用:从正式的角度来看,如果我们在 Oauth 设置之外声明不记名令牌,我们是否正确? 第二个问题可能是:是否可以声明自定义身份验证方案,例如“myBearer”?
谢谢你, 科拉多·塔米蒂
【问题讨论】:
标签: api authentication oauth-2.0 bearer-token