我们有一个不维护状态(甚至不是会话状态)的Web服务,因此我们在服务器和客户端之间传输JWT令牌,其中包含客户端的加密状态。
但是,我们还希望使用服务器的标准授权功能来保护Web服务端点,例如基本身份验证。
我在JWT令牌周围看到的所有文档都表明它们应该通过Authorization标头发送,这使得它与基本身份验证之类的东西不兼容。我知道没有什么可以阻止我们通过另一个标头发送令牌,但是有一些最佳实践可以混合使用Authorization标头和JWT令牌的标准授权技术吗?如果不这样做,是否有任何指导方针或惯例表明你不应该在授权以外的标题中发送JWT令牌?