Http 为什么GitHub Oauth2授权头的认证方案是';代币';不是';持票人';?
根据,HTTP身份验证方案应为“承载”。但使用“令牌”作为方案。我两个都试过了,看来这两个都起作用了 我的问题是:Http 为什么GitHub Oauth2授权头的认证方案是';代币';不是';持票人';?,http,oauth-2.0,github-api,http-authentication,Http,Oauth 2.0,Github Api,Http Authentication,根据,HTTP身份验证方案应为“承载”。但使用“令牌”作为方案。我两个都试过了,看来这两个都起作用了 我的问题是: GitHub使用“令牌”而不是标准有什么原因吗 只要服务器能够理解,这个方案是否可以是任何东西 协议(如RFC6750)只是多方同意的通用标准,因此从根本上说,只要客户机和服务器同意,它可以是任何东西 特别是OAuth有很多扩展——实现者做的事情与规范不太相符,或者规范中可能存在歧义或开放性。刷新令牌的处理是您经常看到的一个领域 至于GitHub,我怀疑它们支持令牌头,因为它们允许
令牌
头,因为它们允许该头用于OAuth令牌之外的其他种类的令牌,特别是个人访问令牌和GitHub应用令牌
此外,这些使用(特别是个人访问令牌)中至少有一部分可能是在您链接的RFC发布之前使用的。这种不一致的情况确实令人困惑。:/无论如何,我决定保留stick-on-Bearer,因为我必须支持多个OAuth2提供程序。:/谢谢你的回答。我同意这种不一致是令人沮丧的,但我认为你做出了正确的决定来坚持标准(除非你被迫偏离标准)。它使处理多个实现变得更简单。