Perché è richiesto "Bearer" prima del token nell'intestazione "Autorizzazione" in una richiesta HTTP?

216

Qual è esattamente la differenza tra le seguenti due intestazioni:

Authorization : Bearer cn389ncoiwuencr

           vs

Authorization : cn389ncoiwuencr

Tutte le fonti che ho attraversato, imposta il valore dell'intestazione 'Autorizzazione' come 'Bearer' seguito dal token vero e proprio. Tuttavia, non sono stato in grado di comprenderne il significato. Cosa succede se inserisco semplicemente il token nell'intestazione Autorizzazione?

    
posta Anmol Gupta 21.12.2015 - 08:20
fonte

3 risposte

161

Il Il pattern Authorization: <type> <credentials> è stato introdotto dal W3C in HTTP 1.0 ed è stato riutilizzato in molti posti da allora. Molti server Web supportano più metodi di autorizzazione. In quei casi l'invio di solo il token non è sufficiente.

Siti che utilizzano

Authorization : Bearer cn389ncoiwuencr
Il formato

probabilmente implementa OAuth 2.0 token al portatore . OAuth 2.0 Authorization Framework imposta una serie di altri requisiti per mantenere l'autorizzazione sicura, per esempio richiedendo l'uso di HTTPS / TLS.

Se ti stai integrando con un servizio che utilizza OAuth 2.0 è una buona idea acquisire familiarità con il framework in modo che il flusso che stai utilizzando sia implementato correttamente ed evitando inutili vulnerabilità. Sono disponibili online numerosi tutorial validi.

    
risposta data 12.04.2016 - 15:02
fonte
24

Molto prima dell'autorizzazione al portatore, questa intestazione è stata utilizzata per Autenticazione di base . Per l'interoperabilità, l'uso di queste intestazioni è regolato dalle norme del W3C, quindi anche se stai leggendo e scrivendo l'intestazione, dovresti seguirle. Il portatore distingue il tipo di Autorizzazione che stai utilizzando, quindi è importante.

    
risposta data 12.04.2016 - 12:33
fonte
5

Il Token del portatore è impostato nell'intestazione Autorizzazione di ogni azione in linea. La richiesta HTTP e il portatore stesso determinano il tipo di autenticazione.

Rif link

    
risposta data 14.11.2016 - 19:37
fonte

Leggi altre domande sui tag