gpt4 book ai didi

api - 为什么要在 `Authorization: Bearer ` header 中发送 token ?

转载 作者:行者123 更新时间:2023-12-03 21:21:29 26 4
gpt4 key购买 nike

我是 API 开发的新手。目前我在请求正文中传递了我的访问/身份验证 token 。例如,

{
status:true,
token:"<thetoken>"
}

但是,当我提到 API 安全性时,他们使用 Authorization header 传递 token 。

我的问题是,如果我在请求正文中发送 token ,会发生什么或出了什么问题?

-- 谢谢你❤ ---

最佳答案

首先,保护 API 端点是一项已解决的任务。我建议您不要发明自己的授权协议(protocol),而是查看现有的行业标准,例如 OAuth 2.0 授权框架 (RFC 6749)。
出于多种原因,遵循标准是有意义的:

  • 它们广为人知并经过实战考验
  • 引用实现和库可用
  • 你可以站在巨人的肩膀上,专注于你的业务逻辑

  • 但是,在请求正文中发送访问 token 并没有错。在 RFC 6750 OAuth 2.0 协议(protocol)定义了所有可能的不记名 token 用法,包括将 token 作为 Form-Encoded Body Parameter 发送.请务必仔细阅读并考虑安全因素。
    长话短说:只要您遵循标准,您如何分发访问 token 并不重要。

    关于api - 为什么要在 `Authorization: Bearer ` header 中发送 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53504223/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com