Ruby on rails HTTP授权头中身份验证方案的用途
我有一个关于Ruby on rails HTTP授权头中身份验证方案的用途,ruby-on-rails,authentication,authorization,jwt,Ruby On Rails,Authentication,Authorization,Jwt,我有一个关于auth方案的问题。我偶然发现了JSON Web标记和一个官方页面: 他们使用 Authorization: Bearer <token> 给出的例子甚至更奇怪: Authorization: FIRE-TOKEN apikey="0PN5J17HBGZHT7JJ3X82", hash="frJIUN8DYpKDtOLCwo//yllqDzg=" 我不知道这是否符合编程问题。我可以盲目跟随/使用第三方图书馆 认证计划的目的是什么 我不是密码/计算机安全专家 也许有人
auth方案的问题
。我偶然发现了JSON Web标记和一个官方页面:
他们使用
Authorization: Bearer <token>
给出的例子甚至更奇怪:
Authorization: FIRE-TOKEN apikey="0PN5J17HBGZHT7JJ3X82", hash="frJIUN8DYpKDtOLCwo//yllqDzg="
我不知道这是否符合编程问题。我可以盲目跟随/使用第三方图书馆
认证计划的目的是什么
我不是密码/计算机安全专家
也许有人可以解释一下这个问题(或者可能没有问题?)授权方案只是向服务器指示下面的凭据类型。客户端可以使用该方案
或者它可以与服务器商定的任何其他方案。是的,身份验证方案是告诉服务器以下令牌是什么,这是非常明显的。更重要的问题是服务器是否应该强制执行它?@Zhang如果服务器只接受JWT令牌作为授权,它可以原谅并忽略身份验证方案标识符。但是,如果服务器支持多个身份验证方案,它需要标识符来识别它后面的内容。听起来很合理:)我想我关心的是,如果服务器不使用接收到的令牌强制执行身份验证方案,它是否会在将来构成安全问题。我没有看到安全问题。只要验证了传递的凭据。但我也不认为省略标识符有什么好处。
Authorization: FIRE-TOKEN apikey="0PN5J17HBGZHT7JJ3X82", hash="frJIUN8DYpKDtOLCwo//yllqDzg="
Authorization: Basic <base64(username:password)>
Authorization: Bearer <base64(JWT)>
Authorization: Hawk id="...", ts="...", nonce="...", ext="...", mac="..."