“Bearer”授权标头有啥特殊含义吗？

Posted 2023-03-10

【中文标题】“Bearer”授权标头有啥特殊含义吗？

【英文标题】：Does the "Bearer" Authorization header have any special meaning?“Bearer”授权标头有什么特殊含义吗？

【发布时间】：2016-06-23 05:25:22

【问题描述】：

使用“Bearer”授权标头和使用自定义标头之间有区别吗？例如，“基本”授权标头与自定义标头不同，因为浏览器将“基本”授权标头视为特殊情况（某些浏览器缓存“基本”授权标头）。换句话说，“Bearer”只是一个任意字符串还是浏览器知道它？

如果我不希望未来的浏览器缓存我的不记名令牌，我是否应该安全并使用自定义标头？

例如，这些之间是否有区别（假设我的服务器可以同时处理两者）：

header('Authorization: Bearer 12345');
header('Mysite-Bearer-Token: 12345');

【参考方案1】：

不记名令牌由 OAuth 2.0 定义。您可以从https://www.rfc-editor.org/rfc/rfc6750获取更多详细信息。

【讨论】：

OAuth 只是 HTTP 之上的一个协议，浏览器不需要对 Bearer 令牌做任何特别的事情。我授予赏金是因为这是唯一的答案。