我见过JWT的很多例子,所有这些例子都有Bearer字。
我已在spring(Java)上使用com.auth0.java-jwt版本3.2.0构建了一个身份验证服务,以及当我从请求中获取Authentication header时我正在做的事情,我正在呼叫{ {1}}因为此JWT lib只需要令牌,所以它不使用此requestHeader.substring(7)。那么为什么一般需要Bearer?)
答案 0 :(得分:0)
不记名身份验证是指您使用自己知道的内容并将其发送给您要验证的一方以证明您的身份的地方。这称为Barer认证。因此,当我向您发送持票人令牌时,您可能有足够的信息在某些情况下冒充我。 JWT标准足够灵活,可以实现更安全的策略,因此其标题要求您指定您正在使用的策略。例如,您可能会证明您有一些特定的加密密钥。这与承载认证的不同之处在于,如果其他人没有该密钥,则他们无法生成将来的请求。