我已经在我的Web API应用程序中创建了基于JWT的身份验证。
我无法弄清楚以下两种令牌的区别:
- Basic Token
- Bearer Token
有人可以帮忙解答吗?
我已经在我的Web API应用程序中创建了基于JWT的身份验证。
我无法弄清楚以下两种令牌的区别:
有人可以帮忙解答吗?
基本认证将凭据作为用户ID/密码对进行传输,使用base64编码。客户端发送带有包含单词Basic
和一个以空格分隔的base64编码
的字符串用户名:密码的Authorization
标头的HTTP请求。
Authorization: Basic ZGVtbzpwQDU1dzByZA==
注意:对于基本认证,由于用户ID和密码作为明文通过网络传输(尽管进行了base64编码,但base64是可逆编码),基本认证方案不安全。应该与HTTPS / TLS一起使用基本认证。
Bearer认证(也称为令牌认证)具有名为bearer token的安全令牌。名称“Bearer认证”可以理解为“授予此令牌的持有人访问权限”。Bearer令牌是一个加密的字符串,通常是服务器响应登录请求时生成的。客户端在请求受保护资源时必须在Authorization标头中发送此令牌:
Authorization: Bearer < token >
注:类似于基本认证,仅应在 HTTPS(SSL)上使用 Bearer 认证。