最适合JWT的HTTP授权头类型

客户端发送访问令牌（JWT或其他令牌）最好使用带有Bearer认证方案的Authorization头部。

该方案由RFC6750描述。

示例：

GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIXVCJ9TJV...r7E20RMHrHDcEfxjoYZgeFONFh7HgQ

如果您需要更强的安全保护，您可以考虑以下IETF草案：https://datatracker.ietf.org/doc/html/draft-ietf-oauth-pop-architecture。这个草案似乎是(abandoned?) https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-http-mac的一个很好的替代品。
请注意，即使这个RFC和上述规范与OAuth2框架协议有关，它们也可以在需要客户端和服务器之间进行令牌交换的任何其他情况下使用。
与您在问题中提到的自定义JWT方案不同，Bearer已在IANA注册。
关于 Basic 和 Digest 认证方案，它们专门用于使用用户名和密码进行身份验证（请参见 RFC7616 和 RFC7617），因此在该上下文中不适用。

简短回答

Bearer身份验证方案是您要寻找的。

详细解答

这和熊有关系吗？

嗯...不，没有 :)

根据牛津词典的定义，这是bearer的定义：

bearer _{^/ˈbɛːrə/}
noun

1. 承载或持有某物的人或事物。

2. 向银行呈现支票或其他支付命令的人。

第一个定义包括以下同义词：messenger, agent, conveyor, emissary, carrier, provider。

以下是RFC 6750中对bearer token的定义：

1.2. 术语

Bearer Token

具有以下属性的安全令牌：持有该令牌（“bearer”）的任何一方都可以像其他持有者一样使用该令牌。使用承载令牌不需要承载人证明对加密密钥材料的持有（POPs）。

Bearer身份验证方案在IANA注册，最初是在OAuth 2.0授权框架的RFC 6750中定义的，但是您可以在不使用OAuth 2.0的应用程序中使用Bearer方案来访问令牌。

尽可能遵守标准，不要创建自己的身份验证方案。

---

访问令牌必须使用Bearer身份验证方案在Authorization请求头中发送：

2.1. Authorization Request Header Field

在HTTP/1.1定义的Authorization请求头字段中发送访问令牌时，客户端使用Bearer身份验证方案来传输访问令牌。

例如：

GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM

[...]

客户端应该使用带有Bearer HTTP授权方案的Authorization请求头字段进行身份验证的请求。[...]

如果令牌无效或缺失，则应在WWW-Authenticate响应头中包括Bearer方案：

3. WWW-Authenticate响应头字段

如果受保护的资源请求未包含身份验证凭据或未包含允许访问受保护资源的访问令牌，则资源服务器必须在HTTP WWW-Authenticate响应头字段中包含以下内容[...]。

此规范定义的所有挑战必须使用Bearer认证方案值。此方案必须后跟一个或多个auth-param值。[...]

例如，对于没有身份验证的受保护资源请求的响应：

HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example"

对于使用过期访问令牌进行身份验证尝试的受保护资源请求的响应：

HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example",
                         error="invalid_token",
                         error_description="The access token expired"