Какая разница между X-Auth-Token: dadas123sad12 vs Авторизация: Основные QWxhZGRpbjpvcGVuIHNlc2FtZQ == Заголовки. Что является предпочтительнымВ чем разница между X-Auth-Token и заголовками авторизации. Предпочтительно
ответ
«Авторизация: базовая» означает базовую аутентификацию, браузер/клиент должен предоставить имя пользователя/пароль каждому запросу.
В случае пользователя «x-auth-token» пользователь должен сначала указать имя пользователя и пароль, а сервер возвращает токен доступа в поле заголовка «x-auth-token». Для последующих сеансов этот токен обменивается, а не имя пользователя/пароль.
«n случай« x-auth-token »...« Как вы можете это знать? Это нестандартная схема аутентификации вне [официальной структуры auth] (https://tools.ietf.org/html/rfc7235). – DaSourcerer
@DaSourcerer Это было какое-то время, когда я изучил этот вопрос, но проверил реализацию в Spring framework (как для базовой проверки подлинности, так и для x-auth-token), и это верно. – user18853
А, мой плохой. Я не понимал, что этот вопрос был характерен для Весны; Я просто принял общий случай. – DaSourcerer
Authorization
является основным заголовком, используемым клиентами для аутентифицировать против сверстников в HTTP, как предусмотрено в RFC 7235. Он часто связан с схемой аутентификации Basic
согласно RFC 7617, но это не задано.
Схема Basic
позволяет клиентам указывать пару имени пользователя-пароля, разделенную двоеточием (:
), закодированным в Base64. Нельзя подчеркнуть, что это транспортная кодировка , которая не дает никаких реальных преимуществ в плане безопасности. Например. приведенный вами пример можно тривиально «дешифровать» в Aladdin:open sesame
.
Через IANA HTTP Authentication Scheme Registry (смотрите также: RFC 7235, sec. 5.1) вы найдете Bearer
схему (определенных в RFC 6750), который тесно связан с OAuth 2.0. X-Auth-Token
в значительной степени обеспечивает ярлык здесь, поскольку он (предположительно) не полагается ни на OAuth, ни на структуру проверки подлинности HTTP.
Обратите внимание, что с X-Auth-Token
является unregistered header, он не имеет официальных форматов, и его присутствие и содержимое всегда привязаны к соответствующему приложению. На нем не могут быть сделаны общие предположения.
Привет, Дипак, и добро пожаловать в переполнение стека. Это довольно широкий вопрос: можете ли вы объяснить, что вы знаете о двух разных заголовках авторизации, и как/почему вам нужно выбирать между ними? –
Я просто хочу знать разницу между двумя. Чтобы прикрепить его с помощью токена JWT от полного полного обслуживания отдыха. Так запутался, чтобы использовать тот тип заголовка. @VinceBowdren – Deepak
В основном, авторизация: Basic используется для входа в систему, а затем вы возвращаете сгенерированный токен, который возвращается на дальнейшие запросы, чтобы доказать, кто вы. –