gpt4 book ai didi

mongodb - 在不实现自定义身份验证方案或解析 token 的情况下从 token header 中删除 "Bearer"?

转载 作者:可可西里 更新时间:2023-11-01 10:39:00 25 4
gpt4 key购买 nike

目前使用 JWT 身份验证模式,其中 token 在模式中具有“Bearer:”。是否可以删除“Bearer”前缀,这样我就不需要在客户端添加它只是为了在客户端解析它又是后端吗?有没有一种方法可以在不实现自定义方案的情况下执行此操作(因此同时仍然使用 Bearer 方案)并且不必解析“Bearer:”文本的实际 token ?

现在,代码如下所示:

var token = req.headers.authorization;
var newToken = token.replace("Bearer ", "");
jwt.verify(newToken, jwtSecret, function (err, success) {
if (err) {
return res.
status(401).
end('Unauthorized, invalidtoken');
} else {
return next();
}
})

理想情况下,它应该这样实现:

var token = req.headers.authorization;
jwt.verify(token, jwtSecret, function (err, success) {
if (err) {
return res.
status(401).
end('Unauthorized, invalidtoken');
} else {
return next();
}
})

这样可以吗?从 jwt 授权 header 中删除“Bearer”有什么影响?

谢谢

最佳答案

在格式化请求 header 时,删除不记名 token 在编程上没有区别。如果您确实选择这样做,那么您就违反了 RFC 和 HTTP 标准。这就像在 GET 响应中发送有效负载并将数据保存到数据库。

使用源自 Oauth 设计的不记名 token ,因此请查看 here标准。

关于mongodb - 在不实现自定义身份验证方案或解析 token 的情况下从 token header 中删除 "Bearer"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50626613/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com