Web API身份验证：基本认证 vs Bearer认证

基本认证和摘要认证方案专门用于使用用户名和密码进行身份验证（参见RFC7616和RFC7617）。
Bearer认证方案专门用于使用令牌进行身份验证，并由RFC6750描述。即使此方案来自OAuth2规范，您仍可以在客户端和服务器之间交换令牌的任何其他上下文中使用它。
关于JWT身份验证，由于它是一个令牌，最好选择Bearer认证方案。然而，您仍然可以使用适合您需求的自定义方案。但是自定义方案可能会被应用程序误解。

基本认证将凭据作为用户ID/密码对进行传输，使用base64编码。客户端发送带有包含单词Basic和一个以空格分隔的base64编码的字符串用户名:密码的Authorization标头的HTTP请求。

Authorization: Basic ZGVtbzpwQDU1dzByZA==

注意：对于基本认证，由于用户ID和密码作为明文通过网络传输（尽管进行了base64编码，但base64是可逆编码），基本认证方案不安全。应该与HTTPS / TLS一起使用基本认证。

---

Bearer认证（也称为令牌认证）具有名为bearer token的安全令牌。名称“Bearer认证”可以理解为“授予此令牌的持有人访问权限”。Bearer令牌是一个加密的字符串，通常是服务器响应登录请求时生成的。客户端在请求受保护资源时必须在Authorization标头中发送此令牌：

Authorization: Bearer < token >

注：类似于基本认证，仅应在 HTTPS（SSL）上使用 Bearer 认证。

有关更多信息，请参见链接1，链接2