Bearer身份验证机制

最新推荐文章于 2024-08-12 01:25:53 发布
最新推荐文章于 2024-08-12 01:25:53 发布
阅读量894 收藏 14
点赞数 27
文章标签: 前端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62639453/article/details/141066472
版权

一、介绍

  Bearer 是一种身份验证机制,通常用于 Web API 中的授权。它是 OAuth 2.0 协议的一部分,用于允许客户端应用程序代表用户访问受保护的资源。

  1. 令牌类型

    • Bearer 通常指代一种 "Bearer Token"(承载令牌)。这是一种由授权服务器颁发的不携带身份信息的令牌。
    • 客户端在请求 API 时会将这个令牌作为身份凭证传递给服务器。

  2. 格式

    • Bearer 令牌通常是在 HTTP 请求的 Authorization 头中传递,格式为:
      Authorization: Bearer <token>
    • 其中 <token> 是实际的令牌字符串。

  3. 安全性

    • Bearer 令牌的使用意味着持有该令牌的任何人都可以访问与之关联的资源。因此,保护令牌的安全性至关重要,最好通过 HTTPS 进行传输以防止被窃取。
    • 一旦令牌被泄露,攻击者就可以伪装成合法用户进行操作。

  4. 过期和刷新

    • Bearer 令牌通常是有过期时间的,一旦过期,客户端需要重新进行身份验证或使用刷新令牌来获取新的 Bearer 令牌。

二、应用场景

  • API 调用:当客户端应用程序需要调用一个受保护的 API 时,它可以通过发送 Bearer Token 来证明其身份。例如,移动应用、前端 SPA 应用等。
  • 单点登录 (SSO):使用 OAuth 2.0 和 Bearer Token 的许多现代认证系统支持单点登录,用户仅需一次身份验证即可访问多个服务。

三、示例

假设你有一个 API 端点 /api/user,要访问这个端点,需要携带 Bearer Token。示例 HTTP 请求如下:

在这个请求中,ABCDEFGH... 就是你的 Bearer Token,服务器收到请求后会检查这个令牌是否合法,并决定是否授予访问权限。

GET /api/user HTTP/1.1
Host: example.com
Authorization: Bearer ABCDEFGHIJKLMNOPQRSTUVWXYZ

实际使用过的示例:

比如在对axios二次封装时,在config配置时,可以在请求发送之前为请求头添加上Bearer令牌,而其后跟着就是token作为身份验证信息。

// request拦截器,在请求之前做一些处理
instance.interceptors.request.use(
	config => {
		if (store.state.access_token) {
			config.headers.Authorization = `Bearer ${store.state.access_token}`
		}
		return config;
	},
	error => {
		console.log(error); // for debug
		return Promise.reject(error);
	}
)

四、常见的Authorization类型

  1. Basic Authentication

    • 格式:Authorization: Basic <base64_encoded_credentials>
    • 示例:Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

  2. Bearer Token

    • 格式:Authorization: Bearer <token>
    • 示例:Authorization: Bearer ABCDEFGHIJKLMNOPQRSTUVWXYZ

  3. Token Authentication(自定义)

    • 格式:Authorization: Token <token>
    • 示例:Authorization: Token ABCDEFGHIJKLMNOPQRSTUVWXYZ

  4. Digest Authentication

    • 格式:Authorization: Digest <parameters>
    • 示例:Authorization: Digest username="username", realm="realm", nonce="nonce", uri="uri", response="response"

  5. OAuth 1.0a

    • 格式:Authorization: OAuth <parameters>
    • 示例:Authorization: OAuth oauth_consumer_key="key", oauth_token="token", oauth_signature="signature"

  6. Hawk Authentication

    • 格式:Authorization: Hawk <parameters>
    • 示例:Authorization: Hawk id="id", timestamp="timestamp", nonce="nonce", mac="mac"

  7. AWS Signature Version 4

    • 格式:Authorization: AWS4-HMAC-SHA256 <parameters>
    • 示例:Authorization: AWS4-HMAC-SHA256 Credential=<access-key-id>/<date>/us-east-1/service/aws4_request, SignedHeaders=host;x-amz-date, Signature=<signature>

  8. Bearer + Custom Variants

    • 一些系统可能会扩展标准 Bearer 令牌,使用自定义前缀。
    • 示例:Authorization: MyCustomBearer <token>

  9. JWT (JSON Web Token)

    • 尽管它通常也被视为 Bearer 令牌,但有时 JWT 会明确标出。
    • 格式:Authorization: Bearer <JWT>
    • 示例:Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

  10. Custom Schemes

    • 某些 API 可能实现自定义的身份验证方式,例如:
    • 示例:Authorization: MyCustomAuth <credentials>

        这些是最常见的 Authorization 头部类型,每种类型都有其特定的用途和实现方式。在设计 API 或进行身份验证时,应根据需求选择合适的类型,并确保使用 HTTPS 以增强安全性

~蓝桉
关注
  • 27
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是JWT
weixin_30604651的博客
08-21 542
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
HTTP 第七章 身份验证
aXin_li的博客
04-29 1139
身份验证是一种在HTTP请求中验证用户身份的方法。它允许Web服务器验证用户的身份,并且只授予已验证用户访问受保护资源的权限。
Bearer
hzgdiyer的专栏
11-30 1663
1.In idle mode,the bearers between UE and serving gateway are deleted.my doubt is whether the default bearer between UE and S-GW is deleted or not? - The key to this question is a definition. When a
[前端] Bearer令牌
好习惯成就伟大
04-28 389
Bearer令牌的安全性依赖于令牌的保密性和传输的安全性。因为任何拥有令牌的人都能访问资源,所以必须确保在传输过程中使用HTTPS来防止中间人攻击,并且存储时也要妥善保管,避免令牌泄露。此外,由于Bearer令牌的这一特点,相比其他类型如MAC(Message Authentication Code) tokens,它在安全性上要求更高的保护措施。服务器接收到请求后,会验证令牌的有效性(比如检查令牌是否过期、是否被撤销等),然后决定是否允许访问请求的资源。在HTTP请求中,Bearer令牌通常放在。
【.NET框架实战】IdentityServer4身份验证、授权
老陈聊架构
01-22 7439
【.NET框架实战】IdentityServer4身份验证、授权 什么是身份认证 身份认证是指当客户端访问服务端资源时,验证客户端是否合法的一种机制 什么是授权 授权就是指当客户端经过身份认证后,能够有限的访问服务端资源的一种机制 为什么要使用身份验证和授权 为了保证服务端资源的安全,我们要理解必须从真实项目中去理解 身份认证和授权方式有哪些 ​ 1、Base认证 ​ Base64编号认证 == https ​ 2、Digest认证 ​ MD5消息摘要认证 == https ​ 3、B
API身份验证和授权介绍
热门推荐
weixin_42646630的博客
04-15 1万+
一、前言 用户通常需要注册API KEY或者其他验证方法,才能使用你的服务,一般我们会用到一下集中验证方式 API Keys Basic Auth HMAC OAuth 身份验证:指证明正确的身份, 授权: 允许的动作 API可能会对您进行身份验证,但未授权您发出特定的请求 API缺乏安全性的后果 为什么API需要身份验证,API没有安全性,用户可以任意注册即可无限次访问和调用API,且没有请求与特定用户数据关联的简单方法,就无法防止恶意用户的恶意请求等。 二、API Key
微服务--身份验证、授权
不求上进的码农的博客
12-01 957
身份认证是指当客户端访问服务端资源时,验证客户端是否合法的一种机制授权就是指当客户端经过身份认证后,能够有限的访问服务端资源的一种机制
什么是JWT验证机制
leaf__yang的博客
02-10 706
一、JWT: 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。1.什么是JWT: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可
SymfonyRESTAPI的JWT身份验证
08-07
Symfony REST API的JWT身份验证是基于JSON Web Token (JWT) 的一种安全机制,它用于在分布式系统中进行用户身份验证。JWT是一种轻量级的、安全的身份表示方式,允许服务器和客户端之间通过加密的令牌来交换信息,而...
Swift-Superb一个Swift可插拔HTTP身份验证
08-14
**Swift-Superb:构建可插拔的HTTP身份验证机制** Swift-Superb是一个专为Swift开发者设计的库,旨在简化HTTP服务的身份验证过程。它提供了可插拔的身份验证策略,使得开发人员能够灵活地根据项目需求选择或切换...
express-authentication-bearer:HTTP Bearer支持与快速身份验证兼容
05-24
Express-authentication-bearer项目就是针对这种身份验证机制的一个实现。它为Express应用提供了一套便捷的中间件,以集成Bearer Token验证。开发者可以通过简单的配置,使Express应用能够解析和验证来自客户端的...
详解vue项目中使用token的身份验证的简单实践
10-17
Token身份验证是一种常见的安全机制,它允许用户在验证身份后访问受保护的资源。通常,这种验证方式使用JSON Web Token (JWT)。JWT包含了用户信息和过期时间,服务器在用户成功登录后生成,然后发送给前端前端将其...
12_基于JWT的Web API身份验证
10-31
基于JWT的Web API身份验证是现代Web应用中广泛采用的安全机制,主要用来验证客户端请求的合法性。JWT(Json Web Token)是一种轻量级的身份验证和授权机制,它允许API服务和客户端之间安全地传递信息,而无需在...
ASP.NET Core Web API 使用Autofac框架
鲤籽鲲的博客
08-08 492
ASP.NET Core Web API 使用Autofac框架
略记一次抓取内容后解密及登录的经历
深蓝浅蓝的天
08-09 1025
从我这个不专业的爬虫工程师来看,爬虫工作是比较看耐心的,尤其是登录和其他的破解环节,一定要相信,从理论上来破的东西,它确实就能破,但确实太考验耐心了。最后再拿下登录返回的token,准备一台手机,自动接收验证码,然后启一个接受短信的服务存到redis,至此登录、请求接口、解密数据全部完成。,key是接口有返回的,但iv对方网站就隐藏的很好,除了这个iv,其他的问题都解决了,加密字符串也成功解密。尤其是解密的代码,调用栈太长了,我水平不够,整整看了2天,才从这种代码中找出了它主要的解密方式,
前端JS总结(中)
最新发布
m0_54066656的博客
08-12 608
前端JS之内置对象总结,这很重要!!!
05_ Electron 自定义菜单、主进程与渲染进程通信
所学所思
08-09 618
单独写在一个 js 文件中,然后再在主进程中引入labe: "文件",submenu: [label: "新建文件",},label: "编辑",submenu: [label: "复制",},submenu: [// main.js// 1、引入初始化remote 模块width:800,})// __dirname 表示获取我们当前目录, path.join 会将两个参数合并成 d://electrondemo/index.html// 打开调试模式。
前端面试宝典【CSS篇】【4】
BDawn的专栏
08-06 745
盒子模型是 CSS 中用于描述 HTML 元素布局方式的一个概念。在 CSS 中,每个元素都被视为一个矩形盒子,这个盒子由几个不同的部分组成:内容区(content)、内边距(padding)、边框(border)和外边距(margin)。 box-sizing 属性是 CSS 中的一个重要属性,它用于定义元素的盒模型是如何工作的。 CSS Sprites(也称为 CSS 精灵或 CSS 雪碧图)是一种优化网页性能的技术,它将多个小图像合并成一个单一的大图像文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值