gpt4 book ai didi

允许客户端选择 JWT 算法的 HTTP header

转载 作者:可可西里 更新时间:2023-11-01 16:06:11 27 4
gpt4 key购买 nike

我有一个为用户生成 token 的资源。我想添加选择 token 生成算法的可能性。

我无法更改请求结构,但可以添加一些带有算法名称的 HTTP header 。我的问题是选择什么标题? Accept 会被接受吗?

我目前使用 Accept-Token-Algorithm header 发送 RS256HS256 等值。

最佳答案

My question is what header to choose? Would Accept be acceptable?

没有 standard header为此目的。

如果客户端和服务器同意 Accept-Token-Algorithm,那似乎是合理的选择。更具描述性(和详细)的替代方案是 Accept-Token-Signature-Algorithm(假设 JWT 实际上是一个 JWS)和 Accept-Token-Encryption-Algorithm(对于 JWE ).

请记住,您的 API 与您为其提供的文档一样好,自定义 header 对 API 使用者而言并不明显。因此,请确保正确记录它。


如果请求中不存在所需的 header ,您还应该考虑回退到默认算法,并确保验证收到的值。引用RFC 7518对于每个目的的有效算法列表:


看看this page有关如何为 JWT 选择算法的详细信息。

关于允许客户端选择 JWT 算法的 HTTP header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52779494/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com