考虑到它进行身份验证而不是授权,Spring 'authorization' header 是用词不当吗?
Is Spring 'authorization' header a misnomer, considering that it does authentication and not authorization?
在 Spring 中,为了验证用户凭据,使用了 'authorization' header。通常,用户名和密码使用某种算法(通常是 base 64)编码并传入此header。但是,验证用户名和密码属于身份验证,不是吗?也就是说,这个 'authorization' header 是不合适的。应该叫 'authentication' header.
阅读https://howtodoinjava.com/spring-boot2/security-rest-basic-auth-example/
使用 OAuth,Authorization header 用于发送 JSON Web 令牌 (jwt)。
此令牌是身份验证过程的结果,包含用户名等用户数据、令牌的颁发者和管理员等角色。它不应该包含密码等敏感数据。此外,令牌由发行者使用 rsa 密钥签名。
Spring 使用此令牌进行授权。签名经过验证,因此没有人可以通过创建假令牌来声明角色。
例如,角色可以使用 grant/deny 访问某些方法。
本文展示了一个示例应用程序,可以帮助您理解这个概念:
https://www.baeldung.com/rest-api-spring-oauth2-angular
在 Spring 中,为了验证用户凭据,使用了 'authorization' header。通常,用户名和密码使用某种算法(通常是 base 64)编码并传入此header。但是,验证用户名和密码属于身份验证,不是吗?也就是说,这个 'authorization' header 是不合适的。应该叫 'authentication' header.
阅读https://howtodoinjava.com/spring-boot2/security-rest-basic-auth-example/
使用 OAuth,Authorization header 用于发送 JSON Web 令牌 (jwt)。
此令牌是身份验证过程的结果,包含用户名等用户数据、令牌的颁发者和管理员等角色。它不应该包含密码等敏感数据。此外,令牌由发行者使用 rsa 密钥签名。
Spring 使用此令牌进行授权。签名经过验证,因此没有人可以通过创建假令牌来声明角色。 例如,角色可以使用 grant/deny 访问某些方法。
本文展示了一个示例应用程序,可以帮助您理解这个概念: https://www.baeldung.com/rest-api-spring-oauth2-angular