如果我使用 API 密钥,“Authorization”标头中会出现什么?

问题描述 投票:0回答:1

我正在制作一个无状态微服务,它接收空的 

POST
/
。我需要某种方法来保护它的无状态性,因此我在 
.env.local
文件中创建一个 API 密钥,并使用此 API 密钥来“验证”我的 
POST
请求。

有了 

Authorization
标头,关于如何使用代币就有了多种标准

  • Basic
    ,使用base64的用户名+密码
  • Bearer
    ,通常是 jwt 或另一个 oauth 令牌,用于替换事先协商好的用户名+密码

但那个令牌不是这样的。它只是一个 

c992bc6c-6d0c-40b6-bf95-f42117209640
形式的纯文本密码,可以随时轮换。

那么授权的“类型”是什么?是否有某种标准可以使用 API 密钥进行身份验证?或者我一开始就看错了标题?

http-headers authorization api-key
1个回答
0
投票

不记名令牌是在 OAuth2 标准范围内设计的,但后来发展到不止于此。将其用于任何非基于 cookie 的令牌作为基于 API 令牌的身份验证的通用机制是一种常见的做法。

Api Security in Action 很好地处理了这个主题,特别是第 5.2.2 章(承载身份验证方案)

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.