为什么在token在http请求头中的Authorization要加Bearer前缀?

最新推荐文章于 2023-09-25 10:35:19 发布
最新推荐文章于 2023-09-25 10:35:19 发布
阅读量4.2k 收藏 3
点赞数 1
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34250494/article/details/133170678
版权

为什么在token在http请求头中的Authorization要加Bearer前缀?

token认证方式一般是放在http的请求头中Authorization字段,那么有两种形式:

Authorization : Bearer eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJCRkwiLCJhdWQiOiJDaGluYU1vYmlsZSIsImV4cCI6MTY5NTM0MTUwNiwibmJmIjoxNjk1Mjk4MzA2fQ.PxgojHlpUEaNJMy8I5DXkTSOrhn3oawzWIs0YL7yNP4

Authorization : eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJCRkwiLCJhdWQiOiJDaGluYU1vYmlsZSIsImV4cCI6MTY5NTM0MTUwNiwibmJmIjoxNjk1Mjk4MzA2fQ.PxgojHlpUEaNJMy8I5DXkTSOrhn3oawzWIs0YL7yNP4

两种方式有什么区别呢?为什么外面使用的时候都会加前缀Bearer?
两种方式使用上没有太大区别,只是:

The Authorization: <type> <credentials> pattern was introduced by the W3C in HTTP 1.0, and has been reused in many places since. Many web servers support multiple methods of authorization. In those cases sending just the token isn’t sufficient.

可以认为Bearer是一种schema。

后端服务filter中获取token进行验证可以兼容两种方式:

 private String getToken(String authorizationString) {
        if (authorizationString.startsWith("Bearer ")) {
            return requestString.substring(7);
        }
        return authorizationString;
    }

另外,使用token认证有一个隐患:
http协议是明文传输的,token完全暴露在网络环境中,其他人获得token就能冒充身份,所以使用时必须注意网络环境,或者请使用https/TLS

认证方式:

  • cookie和session配合方式,客户端使用浏览器的cookie来存sessionId,服务端存session。由于结构可以泛化成两种:
    (1)单服务器的服务端,这种多在小型服务中,私有化部署,toB项目的服务中
    (2)分布式架构下的服务端,这种多是toC,大型服务,复杂系统,这种方式需要共享session,多个服务器都能访问,这样对于共享session的方式,可以是同步session,也可以是单独的服务做认证,类似redis集群存放认证信息,这种类似与网关的服务。就是说

  • token的方式,这种完全不需要认证服务器,token自带认证功能。
    JWT token的介绍

星夜丶晚晚
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HttpClient 访问中增 Authorization Bearer token 认证
mezhangkang的博客
02-12 1万+
public static string HttpPostToken(string Url, string Api, object obj, string token, string ContentType = “application/json”) { string result = “”; try { using (System.Net.Http.HttpClient http = new S...
vue在请求头中添加token信息的image自定义标签
07-12
vue,自定义的image标签,在请求图片url的时候,可以将token添加到url的请求头中,摆脱将token挂在url后面的low的办法。
详解OAuth2 Token 一定要请求头中吗
08-18
主要介绍了详解OAuth2 Token 一定要请求头中吗,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
访问认证(三):Bearer
Tdh5258的博客
07-24 1万+
当前最流行的 token 编码方式是 JSON Web Token (JWT)。JWT 是 Bearer Token 的一个具体实现,由JSON 数据格式组成,通过HASH 散列算法生成一个字符串。该字符串可以用来进行 授权 和 信息交换。使用 JWT Token 进行认证有很多优点。比如:(1)无需在服务端存储用户数据,可以减轻服务端压力;(2)采用 JSON 数据格式,易读;(3)跨语言、轻量级;
OAuth 2.0 筆記 (6) Bearer Token 的使用方法
cominglately的博客
10-18 2339
文章目录场景原文地址摘选片段 场景 最近在研究oauth2认证, 刚好这篇文章很优秀, MARK一下 原文地址 原文地址 https://blog.yorkxin.org/2013/09/30/oauth2-6-bearer-token.html 摘选片段 安全性建議的總結 Section 5.3 Summary of Recommendations 要藏好 Bearer Token C...
接口认证方式:Bearer Token
aikok0033的博客
09-11 3464
因为HTTP协议是开的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。 目前主流的访问权限控制/认证模式有以下几种: 1),Bearer TokenToken 令牌) 定义:为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列...
jwt token为什么要在前面添加Bearer
doiido的专栏
07-28 1074
jwt生成的token如的字符串,但是为什么还要添加上一个Bearer呢?其实,这是一种规范。
前端提交token时会在前面加个固定的前缀
zollty的专栏
12-31 2636
视为token的一部分,无法正常读取token信息,导致鉴权失败。此时 Sa-Token 便可在读取 Token 时裁剪掉。此时后端如果不做任何特殊处理,框架将会把。properties 风格。复制到剪贴板错误复制成功。复制到剪贴板错误复制成功。
token 前面 有一个 Bearer java 怎么解析
weixin_35748962的博客
12-28 2869
这个 "Bearer" 关键字是在 HTTP 授权中使用的。它表示这个 token 是一个 "Bearer Token",是一个被授权的令牌,可以用来访问受保护的资源。 在 Java 中,你可以使用以下代码来解析这个 token: String authorizationHeader = request.getHeader("Authorization"); if (authorizationHe...
token有效但请求失败,原因竟是忘了加Bearer
Concise200的博客
03-07 3551
代码本意是: 每次请求都会先拦截判断是否有token,如果有就添加在请求头Authorization。 if(localStorage.eleToken){ config.headers.Authorization = localStorage.eleToken; } 按理来说应该没有问题,但是发起请求时,响应的是无效的token??? 我查看了请求头,用请求头相同的token在Postman发送了一次请求,是成功的,所以不是token失效的问题。 认真对比发现只有Bear
python requests Authorization Bearer验证请求接口
longe20111104的博客
07-28 2958
python requests Authorization Bearer验证请求接口
java http token请求代码实例
08-26
首先,需要生成一个 Token,然后将其添加到请求头中。服务端可以根据 Token 来验证用户的身份。 知识点5: 使用 Apache Commons HttpClient 库 在 Java 中,可以使用 Apache Commons HttpClient 库来简化 HTTP 请求...
vue 导出文件,携带请求头token操作
10-14
这表明我们需要在Vue组件中创建一个方法来发送HTTP GET请求,同时在请求头中包含token。通常,token是用于验证用户身份的一种安全机制,例如JWT(JSON Web Token)。 以下是一个示例代码,展示了如何使用axios库来...
Vue中登录验证成功后保存token,并每次请求携带并验证token操作
10-14
在`main.js`文件中,我们可以设置请求拦截器,检查当前请求是否需要携带token,并将其添加到请求头: ```javascript axios.interceptors.request.use(config => { if (config.url !== '/') { const token = ...
vue前端利用localStorage存储token值并请求头headers实例
热门推荐
bentou_的博客
04-08 2万+
vue前端利用localStorage存储token值并请求头headers实例 之前在关于登录接口的一篇博客里,我有提到过token,在这篇博客里我会介绍token在前端如何存取,同时把它请求头里获取数据。 1、关于token 为什么要用TokenToken是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,...
Postman如何携带token——Bearer Token和Headers
weixin_44712778的博客
11-18 8198
使用Postman调用接口时,根据后端不同的数据权限框架,来灵活使用Postman进行访问
JWT授权为啥要在 Authorization标头里加个Bearer 呢
Java__EE小白成长之路
07-16 9686
JWT授权为啥要在 Authorization标头里加个Bearer 呢
浅谈token/token在数据包中的位置
最新发布
weixin_73180072的博客
09-25 1739
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以压缩成的一定长度的十六进制字符串。为防止token泄露)。
请求头token
freedms的博客
05-08 1343
可以在发送 post 请求时,使用 axios 的 config 对象,在其中设置请求头Authorization 字段,将 Token 值作为其值即可。必须要加上,表示该 Token 类型为 Bearer Token。同时请替换请求头中的。字段与 Token 值,以符合您实际的情况。
jwt 请求为什么要加Bearer
07-14
在使用 JWT(JSON Web Token)进行身份验证时,Bearer 是一种常用的身份验证方案。Bearer 方案通过在请求头部的 Authorization 字段中添加一个带有特定前缀的令牌来传递 JWT。 Bearer 方案是一种无状态的身份验证方案,它不需要在服务器端存储或维护任何会话状态。客户端在每个请求中提供 JWT 作为身份验证凭证,服务器在收到请求后验证 JWT 的有效性,并根据其中的信息来授权或拒绝请求。 为了标识请求中使用的身份验证方案,需要在 Authorization 字段中添加一个特定的前缀Bearer 方案使用 "Bearer " 作为前缀,后跟一个空格和实际的 JWT 令牌。 例如,一个使用 Bearer 方案的 JWT 请求头部可能如下所示: ``` Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` 通过添加 "Bearer " 前缀,服务器端可以识别出所使用的身份验证方案,并提取出 JWT 令牌进行验证。 这种约定使得服务器能够根据不同的身份验证方案进行适当的身份验证和授权处理。Bearer 方案是 JWT 最常见的身份验证方案之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值