授权：不记名令牌与 AWS 的令牌授权方相同吗？

Posted 2023-03-10

【中文标题】授权：不记名令牌与 AWS 的令牌授权方相同吗？

【英文标题】：Is an authorization: bearer token the same as AWS's token authorizers?

【发布时间】：2021-01-01 04:50:02

【问题描述】：

目前在我团队的网络应用程序中，我们在名为 Auth: 'dfdfdf...' 的标头中传递访问令牌。我们使用 AWS Lambda 和令牌授权器来访问我们的 API 网关资源。

还有一种不同类型的不记名令牌头：授权：不记名： Sending Authorization Token Bearer through javascript

区别仅仅是专有/命名，还是亚马逊的令牌授权器在功能上与不记名令牌模式不同？

【参考方案1】：

AWS Token Authorizer 遵循 oAuth2 您所说的 Bearer 是 Bearer 令牌。

你可以google一下oAuth2和bearer token的区别。

我在这里引用了Bearer token:

不记名令牌是用于 OAuth 2.0 的主要访问令牌类型。

不记名令牌是一个不透明的字符串，对使用它的客户端没有任何意义。一些服务器会发出一串十六进制字符的令牌，而其他服务器可能会使用结构化令牌，例如 JSON Web 令牌。

【参考方案2】：

亚马逊的token授权者也使用Bearer token的方式进行认证。

详细一点，

有两种类型的 Lambda 授权者：

基于令牌的 Lambda 授权方（也称为 TOKEN 授权方）在不记名令牌中接收调用者的身份，例如 JSON Web 令牌 (JWT) 或 OAuth 令牌。

基于请求参数的 Lambda 授权方（也称为 REQUEST 授权方）接收调用者的身份，包括标头、查询字符串参数、stageVariables 和 $context 变量。

还有，什么是承载令牌？

不记名令牌是一个神秘的字符串，通常由服务器响应登录请求而生成。客户端在向受保护资源发出请求时必须在 Authorization 标头中发送此令牌： Authorization: Bearer

因此，Amazon lambda 授权方可以使用 Bearer Token 方法作为其中一种方式。