JWT 和 Bearer Token 有什么区别?
What's the difference between JWTs and Bearer Token?
我正在学习一些有关授权的知识,例如基本、摘要、OAuth2.0、JWT 和 Bearer Token。
现在我有一个问题。
您知道 JWT 在 OAuth2.0 标准中用作 Access_Token。 JWTs 出现在 RFC 7519,Bearer Token 出现在 RFC 6750 .
例如承载者:
Authorization: Bearer <token>
我曾经通过 AJAX 将令牌发送到服务器或将令牌添加到 url 的查询字符串中。我知道也可以通过将令牌添加到请求 header 来发送令牌。这是否意味着应该将令牌添加到 Authorization Bearer header?
请问JWTs和Bearer Token是什么关系?非常感谢。
JWT 使用两种类型的令牌,
参数令牌:访问令牌作为参数传递。
Bearer Token:用'Bearer'传入header。
请同时阅读以下问题:
JWT 是一种令牌编码标准,包含可以签名和加密的 JSON 数据负载。
JWT 可以用于很多事情,其中有不记名令牌,即您可以向某些服务提供的一条信息,凭借您拥有它(您是 "bearer")授予您访问某物。
不记名令牌可以通过不同的方式包含在 HTTP 请求中,其中之一(可能是首选方式)是授权 header。但您也可以将其放入请求参数、cookie 或请求 body 中。这主要是在您和您尝试访问的服务器之间。
简答
JWT 是编码 和验证 声明.[=12= 的便捷方式]
不记名令牌只是字符串,可能是任意的,用于授权。
上下文(故事时间)
几年前,在 JWT 革命之前,<token> 只是一个没有内在含义的字符串,例如2pWS6RQmdZpE0TQ93X。然后在数据库中查找该令牌,其中包含该令牌的 claims。这种方法的缺点是每次使用令牌时都需要数据库访问(或缓存)。
JWT 编码 和验证(通过签名)他们自己的声明。这允许人们发布无状态的短期 JWT(阅读:自包含,不依赖任何其他人)。他们不需要点击数据库。这减少了数据库负载并简化了应用程序架构,因为只有发布 JWT 的服务才需要担心触及 DB/persistence 层(您可能遇到过的 refresh_token)。
我正在学习一些有关授权的知识,例如基本、摘要、OAuth2.0、JWT 和 Bearer Token。
现在我有一个问题。
您知道 JWT 在 OAuth2.0 标准中用作 Access_Token。 JWTs 出现在 RFC 7519,Bearer Token 出现在 RFC 6750 .
例如承载者:
Authorization: Bearer <token>
我曾经通过 AJAX 将令牌发送到服务器或将令牌添加到 url 的查询字符串中。我知道也可以通过将令牌添加到请求 header 来发送令牌。这是否意味着应该将令牌添加到 Authorization Bearer header?
请问JWTs和Bearer Token是什么关系?非常感谢。
JWT 使用两种类型的令牌, 参数令牌:访问令牌作为参数传递。 Bearer Token:用'Bearer'传入header。
请同时阅读以下问题:
JWT 是一种令牌编码标准,包含可以签名和加密的 JSON 数据负载。
JWT 可以用于很多事情,其中有不记名令牌,即您可以向某些服务提供的一条信息,凭借您拥有它(您是 "bearer")授予您访问某物。
不记名令牌可以通过不同的方式包含在 HTTP 请求中,其中之一(可能是首选方式)是授权 header。但您也可以将其放入请求参数、cookie 或请求 body 中。这主要是在您和您尝试访问的服务器之间。
简答
JWT 是编码 和验证 声明.[=12= 的便捷方式]
不记名令牌只是字符串,可能是任意的,用于授权。
上下文(故事时间)
几年前,在 JWT 革命之前,<token> 只是一个没有内在含义的字符串,例如2pWS6RQmdZpE0TQ93X。然后在数据库中查找该令牌,其中包含该令牌的 claims。这种方法的缺点是每次使用令牌时都需要数据库访问(或缓存)。
JWT 编码 和验证(通过签名)他们自己的声明。这允许人们发布无状态的短期 JWT(阅读:自包含,不依赖任何其他人)。他们不需要点击数据库。这减少了数据库负载并简化了应用程序架构,因为只有发布 JWT 的服务才需要担心触及 DB/persistence 层(您可能遇到过的 refresh_token)。