JWT令牌是否总是需要通过授权头发送

JWT令牌是否总是需要通过授权头发送,jwt,Jwt,我们有一个不维护任何状态(甚至不是会话状态)的web服务,因此我们在服务器和客户端之间传输JWT令牌,其中包含客户端的加密状态 但是,我们还希望使用服务器的标准授权功能(如基本身份验证)来保护web服务端点 我所看到的关于JWT令牌的所有文档都表明它们应该通过授权头发送,这使得它与basic auth之类的东西不兼容。我知道没有什么可以阻止我们通过另一个头发送令牌,但是混合使用授权头和JWT令牌的标准授权技术是否有一些最佳实践?否则,是否有任何指导原则或实践表明,除了授权之外,您不应该在头中发送

我们有一个不维护任何状态(甚至不是会话状态)的web服务,因此我们在服务器和客户端之间传输JWT令牌,其中包含客户端的加密状态

但是,我们还希望使用服务器的标准授权功能(如基本身份验证)来保护web服务端点


我所看到的关于JWT令牌的所有文档都表明它们应该通过授权头发送,这使得它与basic auth之类的东西不兼容。我知道没有什么可以阻止我们通过另一个头发送令牌,但是混合使用授权头和JWT令牌的标准授权技术是否有一些最佳实践?否则,是否有任何指导原则或实践表明,除了授权之外,您不应该在头中发送JWT令牌?

是机器对机器还是客户端不受信任(即启用JavaScipt的web浏览器)?客户端是不受信任的浏览器。如果JWT未用于授权,您可能不应该在授权标头中发送它。cookie是为了跟踪状态而发明的,所以只需在cookie中发送JWT,并使用BA的授权头即可。我要说的是,通常的做法是,基本身份验证(或任何其他身份验证)在交换JWT时进行一次,然后JWT完成未来的身份验证(和授权)。这就是它通常通过身份验证头发送的原因。如果出于某种原因,您希望坚持使用基本身份验证对后端的每个调用进行身份验证,那么JWT不再用于身份验证,您必须将其放在X头中。问题是,如果JWT中有状态(包括“logged-in:true/false”),为什么要重复reach调用的身份验证过程?