授权:不记名令牌与 AWS 的令牌授权方相同吗?

Posted

技术标签:

【中文标题】授权:不记名令牌与 AWS 的令牌授权方相同吗?【英文标题】:Is an authorization: bearer token the same as AWS's token authorizers? 【发布时间】:2021-01-01 04:50:02 【问题描述】:

目前在我团队的网络应用程序中,我们在名为 Auth: 'dfdfdf...' 的标头中传递访问令牌。我们使用 AWS Lambda 和令牌授权器来访问我们的 API 网关资源。

还有一种不同类型的不记名令牌头:授权:不记名: Sending Authorization Token Bearer through javascript

区别仅仅是专有/命名,还是亚马逊的令牌授权器在功能上与不记名令牌模式不同?

【问题讨论】:

【参考方案1】: AWS Token Authorizer 遵循 oAuth2 您所说的 Bearer 是 Bearer 令牌。

你可以google一下oAuth2和bearer token的区别。

我在这里引用了Bearer token:

不记名令牌是用于 OAuth 2.0 的主要访问令牌类型。

不记名令牌是一个不透明的字符串,对使用它的客户端没有任何意义。一些服务器会发出一串十六进制字符的令牌,而其他服务器可能会使用结构化令牌,例如 JSON Web 令牌。

【讨论】:

【参考方案2】:

亚马逊的token授权者也使用Bearer token的方式进行认证。

详细一点,

有两种类型的 Lambda 授权者:

    基于令牌的 Lambda 授权方(也称为 TOKEN 授权方)在不记名令牌中接收调用者的身份,例如 JSON Web 令牌 (JWT) 或 OAuth 令牌。

    基于请求参数的 Lambda 授权方(也称为 REQUEST 授权方)接收调用者的身份,包括标头、查询字符串参数、stageVariables 和 $context 变量。

还有,什么是承载令牌?

不记名令牌是一个神秘的字符串,通常由服务器响应登录请求而生成。客户端在向受保护资源发出请求时必须在 Authorization 标头中发送此令牌: Authorization: Bearer

因此,Amazon lambda 授权方可以使用 Bearer Token 方法作为其中一种方式。

【讨论】:

以上是关于授权:不记名令牌与 AWS 的令牌授权方相同吗?的主要内容,如果未能解决你的问题,请参考以下文章

Firebase 授权不记名令牌未注册

添加基于策略的授权会跳过 JWT 不记名令牌身份验证检查吗?

使用不记名令牌授权 Azure 请求?

AWS 自定义授权方 - 从 cookie 获取令牌

通过授权属性验证 OAuth 不记名令牌

使用不记名令牌授权 ASP.net mvc 操作方法