我正在为一个传统的Rails后端添加一个全新的前端JWT Auth .
在HTTP请求时,似乎大多数消息来源建议我通过Bearer Header将令牌发送回服务器 .
为什么?通过标头(承载或基本)发送的附加值是多少 . 什么不能简单地通过.json将JWT传递回服务器并从那里验证令牌 .
Authorization标头给我带来了什么好处,而且,Bearer Authorization标头给了我什么?
我当然可以简单地按照每个人的例子,但想了解原因 . 持票人文档冗长且难以理解我在简单地将JWT作为请求中的数据的一部分发送时获得了什么 .
谢谢 .
1 回答
您可以在技术上使用JTW在每个请求上发送json主体,但这将是非标准行为(例如,GET请求不应该通过规范具有主体) .
更标准的方法是提供
AuthorizationHTTP标头 .Authorization标头不是特定于JWT的,它的作用是指定客户端和服务器之间的auth方案 . 另一种方法是将JWT包含在cookie中,但这会使行为浏览器特定,而HTTP标头几乎可以由任何HTTP客户端发送 .P.S请记住,与浏览器自动发送的Auth cookie相反,
Authorization标头需要由客户端明确设置 .