用户投稿前言
在Auth的过程,很常会看到Basic、Bearer 型态的Token,而是用的场景不太一样。Basic用在存取一个网站、网域的时候,Bearer则是用于存取Protect Resource 的时候。
From personal blog
Token 怎么使用?
一般来说是在HEADER中使用Authorization的并带入存取的Token,如Basic、Bearer等type 的Token。
Authorization Header Example# Unauthorized ResponseGET / HTTP/1.1 # Authorized QueryGET / HTTP/1.1 Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==Basic Token
作为HTTP最基本的认证方式,使用明码的方式进行传输 password、user_id。设计面并未考虑到TLS认证,以明码的方式传送 password、user_id。
一般来说,在存取资Server的时候,需要预先带入Token,然而若未能成功验证通过时,Response 则会回应相关的资讯,带有WWW-Authenticate HEADER,并带有Realm (Protection Space)资讯。
Key words:
Realm(Protection Space): Token有效的网域。charset: 用于设定schema 的编码,只能允许utf-8一种Bearer Token
是以HTTP 1.1 TLS下去定义的 Token,因此使用Bearer必须具备TLS环境。延续使用Basic Token 的WWW-Authenticate、Authorization HEADER,而 proxy authentication 不延续使用。
使用Token的方式:
使用Authorization HEADER:Ex: Authorization: Bearer QWxhZGRpbjpvcGVuIHNlc2FtZQ==使用Form Body:
不建议将Token加入Body,使用时 ,并使用GET 之外的 HTTP verbs (POST、DELETE、PUT)
HEADER: Content-Type: "application/x-www-form-urlencoded"直接使用在URI :
一般来说不会使用这种方法,除非是Authorization header不支援,或者protect resource 支援该方法。
Ex: GET /resource?access_token=mF_9.B5f-4.1JqM HTTP/1.1
Token Response Error
使用Token时,当HTTP Response Status code 为200时代表成功,然而当失败的时候则会出现4XX的Status code。
Basic Token: 当授权为「不」通过时,回传401 code并告知哪个 Protect Scope 错误。
Basic Token Error ExampleHTTP/1.1 401 UnauthorizedDate: Mon, 04 Feb 2014 16:50:53 GMTWWW-Authenticate: Basic realm="WallyWorld"Bearer Token: 当授权为「不」通过时,回传400、401、403 code,并根据状况回传对应的错误。
HTTP/1.1 401 UnauthorizedWWW-Authenticate: Bearer realm="example", error="invalid_token", error_description="The access token expired"总结
Basic Token 主要还是使用在网域上的防护(Realm),而Bearer则是针对protect resource的存取,主要还是使用在Auth 2.0 上头,且一定要在TLS环境(HTTPS)使用
参考资料
[1] The 'Basic' HTTP Authentication Scheme
[2] The OAuth 2.0 Authorization Framework: Bearer Token Usage
[3] Basic Authentication
微信扫一扫打赏
支付宝扫一扫打赏
