为什么要在“授权:承载”标头中发送令牌?

时间:2018-11-27 16:37:56

标签: api security authentication authorization jwt

我是API开发的新手。目前,我在请求正文中传递了访问/身份验证令牌。对于eaxmple,

{
status:true,
token:"<thetoken>"
}

但是,当我提到API安全性时,他们使用Authorization标头来传递令牌。

我的问题是,如果我在请求正文中发送令牌,将会发生什么或出了什么问题?

-谢谢❤---

1 个答案:

答案 0 :(得分:4)

首先,保护API端点是一项已解决的任务。建议您不要研究自己的授权协议,而应该看看OAuth 2.0授权框架(RFC 6749)等已经存在的行业标准。

遵循标准有多种原因:

  • 它们广为人知,并经过了战斗考验
  • 参考实现和库可用
  • 您可以站在巨人的肩膀上,专注于您的业务逻辑

但是,在请求正文中发送访问令牌没有错。在RFC 6750中,OAuth 2.0协议定义了所有可能的承载令牌用法,包括将令牌作为Form-Encoded Body Parameter发送。请务必仔细阅读并考虑安全因素。

长话短说:只要遵循标准,如何分发访问令牌并不重要。

相关问题
最新问题