¿Cuál es exactamente la diferencia entre los siguientes dos encabezados:
Authorization : Bearer cn389ncoiwuencr
vs
Authorization : cn389ncoiwuencr
Todas las fuentes por las que he pasado, establece el valor del encabezado 'Autorización' como 'Portador' seguido del token real. Sin embargo, no he podido entender su significado. ¿Qué pasa si simplemente pongo el token en el encabezado de Autorización?
El
El patrón Authorization: <type> <credentials> fue introducido por el W3C en HTTP 1.0 , y se ha reutilizado en muchos lugares desde entonces. Muchos servidores web soportan múltiples métodos de autorización. En esos casos, enviar el token no es suficiente.
Sitios que utilizan el
Authorization : Bearer cn389ncoiwuencr
es más probable que implemente OAuth 2.0 tokens de portador .The OAuth 2.0 Authorization Framework establece una serie de otros requisitos para mantener la autorización segura, por ejemplo, que requiere el uso de HTTPS / TLS.
Si se está integrando con un servicio que utiliza OAuth 2.0, es una buena idea familiarizarse con el marco para que el flujo que está utilizando se implemente correctamente y evite vulnerabilidades innecesarias. Hay una serie de buenos tutoriales disponibles en línea.
Mucho antes de la autorización del portador, este encabezado se usó para autenticación básica . Para la interoperabilidad, el uso de estos encabezados se rige por las normas de W3C, por lo que incluso si está leyendo y escribiendo el encabezado, debe seguirlos. El portador distingue el tipo de Autorización que está utilizando, por lo que es importante.
Un token de portador se establece en el encabezado de autorización de cada solicitud HTTP de acción en línea y el propio portador determina el tipo de autenticación.
Ref. enlace
Lea otras preguntas en las etiquetas authentication authorization http token