JWT 为啥我们需要 Bearer word?
Posted
技术标签:
【中文标题】JWT 为啥我们需要 Bearer word?【英文标题】:JWT why we need Bearer word?JWT 为什么我们需要 Bearer word? 【发布时间】:2018-03-03 03:46:31 【问题描述】:我见过很多关于 JWT 的例子,它们都有Bearer
这个词。
我在spring(Java)
和com.auth0.java-jwt
版本3.2.0
上构建了一个身份验证服务,当我从请求中获得Authentication header
时我在做什么,我正在调用requestHeader.substring(7)
因为这个JWT lib 只需要令牌,它不使用这个Bearer
。那么为什么一般需要这个Bearer
?)
【问题讨论】:
【参考方案1】:不记名身份验证是您使用您知道的东西并将其发送给您正在验证的一方以证明您的身份。这称为裸验证。因此,当我向您发送不记名令牌时,您可能有足够的信息在某些情况下冒充我。 JWT 标准足够灵活,可以使用更安全的策略,因此它的标头要求您指定要使用的策略。例如,您可能会证明您有一些特定的加密密钥。这与不记名身份验证的不同之处在于,如果其他人没有该密钥,他们将无法生成未来的请求。
【讨论】:
以上是关于JWT 为啥我们需要 Bearer word?的主要内容,如果未能解决你的问题,请参考以下文章
使用NodeJS验证包含“Bearer:”的JWT标记字符串