使用“Authorization: bearer [token]”的请求可以用于身份验证吗?
还是
我们应该使用另一种方法来验证客户端并发出令牌,然后像OAuth2一样使用令牌作为承载令牌吗?为什么流行的Web服务(例如Github、AWS、Google等)使用其他方法(例如AWS:Authorization: AWS4-HMAC-SHA256 Credential = ...)来验证客户端。问题的关键是:以下流程中是否存在任何漏洞或违反标准。
我想使用以下流程:
客户端:类似Twitter客户端。 服务器:类似Twitter API。
1.客户端生成令牌(加密的用户ID、密码等)。 2.客户端使用“Authorization: bearer [token]”向服务器请求资源。 3.服务器解密令牌并对客户端进行身份验证。 4.服务器响应资源。
我阅读了以下RFC,但没有找到任何理由不应该或应该使用上述流程。
还是
我们应该使用另一种方法来验证客户端并发出令牌,然后像OAuth2一样使用令牌作为承载令牌吗?为什么流行的Web服务(例如Github、AWS、Google等)使用其他方法(例如AWS:Authorization: AWS4-HMAC-SHA256 Credential = ...)来验证客户端。问题的关键是:以下流程中是否存在任何漏洞或违反标准。
我想使用以下流程:
客户端:类似Twitter客户端。 服务器:类似Twitter API。
1.客户端生成令牌(加密的用户ID、密码等)。 2.客户端使用“Authorization: bearer [token]”向服务器请求资源。 3.服务器解密令牌并对客户端进行身份验证。 4.服务器响应资源。
我阅读了以下RFC,但没有找到任何理由不应该或应该使用上述流程。
https://www.rfc-editor.org/rfc/rfc7235
https://www.rfc-editor.org/rfc/rfc6750
谢谢