HTTP Token 使用方式: Basic Token v.s Bearer Token

最新推荐文章于 2024-04-02 15:40:48 发布
最新推荐文章于 2024-04-02 15:40:48 发布
阅读量7k 收藏 9
点赞数
分类专栏: 认证 文章标签: http 网络协议 网络
原文链接:https://blog.zwying.com/archives/66.html
版权

前言

在Auth的过程,很常会看到Basic、Bearer 型态的Token,而是用的场景不太一样。 Basic用在存取一个网站、网域的时候,Bearer则是用于存取Protect Resource的时候。

Token 怎么使用?

一般来说是在HEADER中使用 Authorization 的并带入存取的Token,如Basic、Bearer等type的Token。

Authorization Header Example

# Unauthorized Response
GET / HTTP/1.1
 
# Authorized Query
GET / HTTP/1.1
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

Basic Token

作为HTTP最基本的认证方式,使用明码的方式进行传输password、user_id。 设计面并未考虑到TLS认证,以明码的方式传送password、user_id。

一般来说,在存取资Server的时候,需要预先带入Token,然而若未能成功验证通过时,Response 则会回应相关的资讯,带有WWW-Authenticate HEADER,并带有Realm (Protection Space)资讯。

Key words:

  1. Realm(Protection Space): Token有效的网域。
  2. charset: 用于设定schema的编码,只能允许utf-8一种

Bearer Token

是以HTTP 1.1 TLS下去定义的Token,因此使用Bearer必须具备TLS环境。 延续使用Basic Token 的WWW-Authenticate、Authorization HEADER,而proxy authentication不延续使用。

使用Token的方式:

使用 Authorization HEADER:

Ex: Authorization: Bearer QWxhZGRpbjpvcGVuIHNlc2FtZQ==

使用 Form Body:

使用时不建议将Token加入Body,并使用 GET之外的HTTP verbs (POST、DELETE、PUT)
HEADER: Content-Type: "application/x-www-form-urlencoded"

直接使用在 URI :

一般来说不会使用这种方法,除非是Authorization header不支援,或者protect resource支援该方法。
Ex: GET /resource?access_token=mF_9.B5f-4.1JqM HTTP/1.1

Token Response Error

使用Token时,当HTTP Response Status code 为200时代表成功,然而当失败的时候则会出现4XX的Status code。

Basic Token: 当授权为「不」通过时,回传401 code并告知哪个Protect Scope 错误。

  • Basic Token Error Example
HTTP/1.1 401 Unauthorized
Date: Mon, 04 Feb 2014 16:50:53 GMT
WWW-Authenticate: Basic realm="WallyWorld"

Bearer Token: 当授权为「不」通过时,回传400、401、403 code,并根据状况回传对应的错误。
Error Type说明
invalid_requestResponse 400 error code,表示Request 缺少参数或者多了一些参数等错误
invalid_tokenResponse 401 error code,表示Token 错误,通过不了认证
invalid_scopeResponse 403 error code,表示Token无权存取该Protect Resource
  • Bearer Token Error Example
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example",
                  error="invalid_token",
                  error_description="The access token expired"

总结

Basic Token 主要还是使用在网域上的防护(Realm),而Bearer则是针对protect resource的存取,主要还是使用在Auth 2.0 上头,且一定要在TLS环境(HTTPS)使用

参考资料

[1] The 'Basic' HTTP Authentication Scheme
[2] The OAuth 2.0 Authorization Framework: Bearer Token Usage
[3] Basic Authentication

 

xiaokanfuchen86
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python 如何实现Bearer模式的Token验证 Python源码
11-13
Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码Python 如何实现Bearer模式的Token验证 Python源码
WebApiBearerToken:Web Api 自托管 + Owin + Bearer Token
06-14
Web Api 2 Self Host + OWIN 和 Bearer Token 认证 用于理解 web.api 2 self host + OWIN + Bearer Token Authentication 的 Bearbone 实现。 重要的是了解如何生成声明(在 Token 中硬编码)以及如何读取客户端将为每个请求传输到服务器的声明。 控制器上的 [Authorize] 属性将转换声明中的令牌。 class Program { static void Main(string[] args) { var server = WebApp.Start<Startup>(url: "http://localhost:9000/"); Console.WriteLine("Web API listening at http://loc
25-认证机制:应用程序如何进行访问认证?
最新发布
ailiandeziwei的专栏
04-02 561
JWT是Bearer Token的一个具体实现,由JSON数据格式组成,通过HASH散列算法生成一个字符串。该字符串可以用来进行授权和信息交换。使用JWT Token进行认证有很多优点,比如说无需在服务端存储用户数据,可以减轻服务端压力;而且采用JSON数据格式,比较易读。除此之外,使用JWT Token还有跨语言、轻量级等优点。业界目前有四种常用的认证方式Basic、Digest、OAuth、Bearer。其中BasicBearer用得最多。
AspNetCore.Authentication.ApiToken:一个asp.net核心webapi令牌认证和生成器开源库
05-30
AspNetCore.Authentication.ApiToken 英文 | AspNetCore.Authentication.ApiToken 是 ASP.NET Core 的身份验证组件,遵循 ASP.NET Core 身份验证框架的设计规范。 主要用于WebApi项目中,提供Token的发行和验证能力。 该组件下发的Token不是Json Web Token(JWT),类似于IdentityServer4中的Reference Token,需要在服务器端查询验证有效性。 如果你的项目中需要IdentityServer4中的Reference Token,那么中大型项目推荐使用IdentityServer4。 如果是中小型项目,那么可以考虑AspNetCore.Authentication.ApiToken,比IdentityServer4更便携。 维护成本更低。 这个Toke
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
js-express-bearer-token:Express承载令牌中间件
05-11
快递承办人代币 Express的承载令牌中间件。 什么? 根据此模块将尝试从以下位置的请求中提取承载令牌: 请求正文中的键access_token 。 请求参数中的键access_token 。 标题Authorization: Bearer <token> 。 (可选)使用键access_token从cookie标头获取令牌。 如果找到令牌,它将被存储在req.token 。 如果在多个位置提供了一个,这将通过发送代码400(根据 )立即中止请求。 const express = require ( 'express' ) ; const bearerToken = require ( 'express-bearer-token' ) ; const app = express ( ) ; app . use ( bearerToken ( ) ) ; app . use
HTTP学习笔记——token的原理和机制
xdk2166的博客
08-12 6630
HTTP学习笔记——token的原理,机制token的原理,机制什么是token为什么要使用token如何使用tokentoken的储存token的加密结语 token的原理,机制 什么是token token的意思是“令牌”,更通俗点说其实就是一种通信双方之间的暗号,大家应该都看过谍战片吧,里面地下党接头都免不了说一堆只有他们自己明白,而别人却一头雾水的废话。token其实也是一样的,是当客户端第一次发起请求时,服务器通过签名生成的一连串字符串,这个字符串只有服务器自己明白什么意思,别的人拿到也是一头雾水
让每个Http请求都自动带上token
热门推荐
wdquan19851029的专栏
12-23 1万+
token放到cookie中,这样每个http请求就都可以带上token信息了。 access_token="jeerfdafdseveaewfewfewa......"; document.cookie = "keycloakToken=" + access_token; 下面以Django的中间件为例,看看后端是怎样从request中得到token信息。 accessToken = ""; if not request.META.get('HTTP_COOKIE'): #判断有没有cooki
http请求响应报文及session&cookie&token详解
NZXHJ的博客
07-30 4461
http请求响应报文及session&cookie详解
HTTP Basic, Session, Token 三种认证方法简介
haiiiiiyun的博客
03-14 1286
1. 概述 本文简介 HTTP Basic,Session,Token 三种认证方法。 Basic 认证:户籍部门已给你签发了一张身份证。你每次去办事,都要带上身份证证,后台要拿你的身份证去系统上查一下。 Session 认证:户籍部门已给你签发了一张身份证,但只告诉你身份证号码。你每次去办事,只要报出你的身份证号码,后台要查一个即否有效。 Token 认证:户籍部门已给你签发了一张有防伪功能的...
WebAPI Basic Token身份验证(1)生成令牌 傻瓜式教学
Andri0519的博客
04-27 298
马上要用做安卓APP了,前后端分离的,后台必然要写WebAPI 来做操作, 但是API不可能给任何人使用,所以要加身份验证来过滤非法请求,话不多说一起来看吧。 1.创建项目 2.创建AP控制器 3.废话半天开始编码(简单登陆分配Token令牌) 前台代码 @using (Html.BeginForm("Index", "Defau...
oauth2.0鉴权,登录访问 “/oauth/token”,请求头Authorization(basicToken)如何取值???
君临天下tjm的博客
06-30 4632
springcloud项目通常使用oauth2.0做鉴权管理微服务模块,当使用grantType="password"和jwt存储token时,需要设置clientId和clientSecret,这两个值可以随便取,配置在application.yml文件里面。访问 “/oauth/token”,参数@RequestHeader("Authorization")的取值是Basic开头,加空格,加clientId:clientSecret格式进行base64加密后的字符串。 在做用户登录的时候,需要传入us
WebAPI Basic Token身份验证(2) 令牌验证
Andri0519的博客
04-28 185
<head> <meta name="viewport" content="width=device-width" /> <title>Show</title> <script src="~/Scripts/jquery-1.10.2.min.js"></script> &...
Python flask之token相关知识及HTTPBasicAuth的使用
Null的博客
02-14 5889
目录 1、网站的用户登录流程: 2、API的用户流程: 3、token令牌的三个基本特征 4、代码实现 5、令牌的使用思路 6、编写验证token的装饰器 7、使用HTTPBasicAuth的方式发送账号密码 8、通过HTTPBasicAuth的方式发送token 9、验证token 验证token是否合法: 验证令牌是否过期: 读取令牌信息: 10、关于8和9的代码总览...
IM开发——HTTP短连接中的Cookie、Session和Token
qq_41105501的博客
04-21 503
IM开发——HTTP短连接中的Cookie、Session和Token 众所周之,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现。Http短连接主要用于从服务器读取各种持久化信息:比如用户信息、聊天历史记录、好友列表等等,长连接则是用于实时的聊天消息或指令的接收和发送。 Cookie Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网时代的策马奔腾,带宽等限制不存在了,人们需要更复杂的互联网交互活动,就必须同服务器保持活动状态。于是在
723-HTTP协议的Cookie、Session、Token
LINZEYU666的博客
10-27 600
Cookie、Session、Token背后的故事 作为网友的我们,每天都会使用浏览器来逛各种网站,来满足日常的工作生活需求。 现在的交互体验还是很丝滑的,但早期并非如此,而是一锤子买卖。 无状态的http协议 无状态的http协议是什么? HTTP无状态协议,是指协议对于业务处理没有记忆能力,之前做了啥完全记不住,每次请求都是完全独立互不影响的,没有任何上下文信息。 缺少状态意味着如果后续处理需要前面的信息,则它必须重传关键信息,这样可能导致每次连接传送的数据量增大。 假如一直用这种原生无状态的http
HTTP 客户端设置 Token:揭秘身份验证的秘密
u013558123的博客
03-29 471
在现代网络应用中,身份验证是确保数据安全和保护用户隐私的重要手段。本文介绍了几种常见的 HTTP 客户端,并演示了如何在这些客户端中设置 Token,以实现身份验证。通过这些方法,您可以轻松地在 HTTP 客户端中添加 Token,从而实现安全的身份验证。
HTTP会话保持技术:Cookie、Session、Token、JWT
Happy_lifer的博客
05-08 945
JWT 是 JSON Web Token 的缩写,JWT 本身没有定义任何技术实现,它只是定义了一种基于 Token 的会话管理的规则,涵盖 Token 需要包含的标准内容和 Token 的生成过程。
用go语言提取{"access_token":"hy.patrol.1.a1b421bb-46fd-4460-bddf-777eaefc68b4","token_type":"bearer","refresh_token":"hy.patrol.1.d669276c-446c-4654-9f12-837a9af1bb33","expires_in":3558,"scope":"all","user_info":{"username":"H02110"}}中的"access_token":"hy.patrol.1.a1b421bb-46fd-4460-bddf-777eaefc68b4"并保持成json
03-26
代码实现: ```go package main import ( "encoding/json" "fmt" ) func main() { originalJson := `{"access_token":"hy.patrol.1.a1b421bb-46fd-4460-bddf-777eaefc68b4","token_type":"bearer","refresh_token":"hy.patrol.1.d669276c-446c-4654-9f12-837a9af1bb33","expires_in":3558,"scope":"all","user_info":{"username":"H02110"}}` var result map[string]interface{} err := json.Unmarshal([]byte(originalJson), &result) if err != nil { fmt.Println("Unmarshal error:", err) return } access_token, ok := result["access_token"] if !ok { fmt.Println("access_token not found") return } newJson := map[string]interface{}{ "access_token": access_token, } newBytes, err := json.Marshal(newJson) if err != nil { fmt.Println("Marshal error:", err) return } fmt.Println(string(newBytes)) } ``` 输出结果: ``` {"access_token":"hy.patrol.1.a1b421bb-46fd-4460-bddf-777eaefc68b4"} ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值