Der beste HTTP Authorization-Header-Typ für JWT
Frage ich mich, was ist die am besten geeignete Authorization
HTTP-header-Typ für JWT Token.
Eines der wohl beliebteste Art ist Basic
. Zum Beispiel:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Er Griff sich zwei Parameter, wie ein login und ein Passwort. Es ist also nicht relevant für JWT Token.
Außerdem hörte ich über Träger geben, zum Beispiel:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
Aber ich don T wissen, seine Bedeutung. Ist das mit dem Bären?
Gibt es eine bestimmte Art und Weise zu verwenden, JWT Token in den HTTP - Authorization
header? Sollten wir Bearer
soll, oder sollen wir vereinfachen und verwenden nur:
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
Dank.
Edit:
Oder vielleicht, nur ein JWT
HTTP-header:
JWT: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
Kommentar zu dem Problem
Es ist komisch 🙂
Ich glaube, dass kleine Bemerkung zum Bären beabsichtigt war, aber es machte mich trotzdem lacht
@Rodrigo verpasste den Teil über die Bären, aber sah den Kommentar und sah wieder. Gab mir ein gutes lachen.
Bitte, wenn möglich, ändern Sie die akzeptierte Antwort.
InformationsquelleAutor der Frage Zag zag.. | 2015-10-21
Du musst angemeldet sein, um einen Kommentar abzugeben.
Einen JWT token verwendet werden können, ohne OAuth.
Somit ist eine einfache
"Authorization: JWT <your_token>"
wäre passender.Beispiel:
InformationsquelleAutor der Antwort シリル
Die besten HTTP-header für Ihre Kunden zu senden ein access-token (JWT oder andere token) ist die
Authorization
header mit derBearer
Authentifizierungsschema.Dieses Schema ist beschrieben durch die RFC6750.
Beispiel:
GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIXVCJ9...TJVA95OrM7E20RMHrHDcEfxjoYZgeFONFh7HgQ
Wenn Sie brauchen eine stärkere Sicherheits-Schutz, können Sie auch prüfen, die folgenden IETF-draft: https://tools.ietf.org/html/draft-ietf-oauth-pop-architecture. Dieser Entwurf scheint eine gute alternative zu den (verlassenen?) https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac.
Beachten Sie, dass, auch wenn diese RFC und den oben genannten Spezifikationen beziehen sich auf die OAuth2-Framework-Protokoll, können Sie verwendet werden, in allen anderen Kontexten, die erfordern, dass ein token-Austausch zwischen einem client und einem server.
Im Gegensatz zu den benutzerdefinierten
JWT
Schema, das Sie erwähnen in Ihrer Frage, dieTräger
ist eingetragen bei der IANA.Bezüglich der
Basic
undDigest
Authentifizierungsschemas, diese sind für die Authentifizierung mit einem Benutzernamen und einem geheimen (siehe RFC7616 und RFC7617) so nicht zutreffend in diesem Zusammenhang.InformationsquelleAutor der Antwort Florent Morselli
Ähhh... Nein!
Hier ist die definition von Bearer-Token nach der RFC-6750:
Den
Bearer
Schema ist ursprünglich definiert in der RFC-6750 für OAuth 2.0 authorization framework, aber nichts hält Sie von der Benutzung derBearer
System für access-Token in Anwendungen, die nicht die Verwendung von OAuth 2.0.Stick an die standards, so viel wie Sie können und don ' T erstellen Sie Ihre eigenen Authentifizierungs-Systeme.
Einer access-token gesendet werden muss, in der
Authorization
- request-header, die Verwendung derBearer
authentication scheme:Im Fall von ungültigen oder fehlenden token, die
Bearer
Regelung einbezogen werden sollten in dieWWW-Authenticate
- header der Antwort:InformationsquelleAutor der Antwort Cassio Mazzochi Molin