Saya bertanya-tanya apa Authorization
jenis header HTTP terbaik yang sesuai untuk token JWT .
Salah satu jenis yang mungkin paling populer adalah Basic
. Misalnya:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Ini menangani dua parameter seperti login dan kata sandi. Jadi tidak relevan untuk token JWT.
Juga, saya mendengar tentang tipe Bearer , misalnya:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
Namun, saya tidak tahu artinya. Apakah ini terkait dengan beruang?
Apakah ada cara tertentu untuk menggunakan token JWT di Authorization
header HTTP ? Haruskah kita menggunakan Bearer
, atau haruskah kita menyederhanakan dan hanya menggunakan:
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
Terima kasih.
Edit:
Atau mungkin, hanya JWT
tajuk HTTP:
JWT: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
sumber
Bearer
kata kunci ini . Tapi itu berasal dari OAuth. Namun JWT dapat digunakan tanpa OAuth. Ini benar-benar independen dengan spesifikasi OAuth.Authenticate
tajuk lebih sesuai dan sesuai dengan RFC7235 yang menjelaskan kerangka kerja otentikasi dalam konteks HTTP 1.1curl -H "Authorization: Bearer <TOKEN>" <the rest of your curl cmd>
Jawaban singkat
The
Bearer
skema otentikasi adalah apa yang Anda cari.Jawaban panjang
Errr ... Tidak :)
Menurut Kamus Oxford , berikut ini definisi pembawa :
Definisi pertama meliputi sinonim berikut: kurir , agen , konveyor , utusan , operator , penyedia .
Dan inilah definisi token pembawa menurut RFC 6750 :
The
Bearer
Skema otentikasi yang terdaftar di IANA dan awalnya didefinisikan dalam RFC 6750 untuk kerangka otorisasi OAuth 2.0, tapi tidak ada yang menghentikan Anda dari menggunakanBearer
skema untuk token akses dalam aplikasi yang tidak menggunakan OAuth 2.0.Tetap berpegang pada standar sebanyak yang Anda bisa dan jangan membuat skema otentikasi Anda sendiri.
Token akses harus dikirim di
Authorization
header permintaan menggunakanBearer
skema otentikasi:Jika token tidak valid atau hilang,
Bearer
skema harus dimasukkan dalamWWW-Authenticate
tajuk respons:sumber