Web API Kimlik Doğrulaması Temel ve Taşıyıcı


93

Web API uygulamamda JWT tabanlı Kimlik Doğrulama oluşturdum. Arasındaki farkı anlayamıyorum

  1. Temel Jeton
  2. Taşıyıcı Jetonu

Lütfen birisi bana yardım edebilir mi?

Yanıtlar:


119

Temel ve Özet kimlik doğrulama şemaları, bir kullanıcı adı ve bir sır kullanarak kimlik doğrulamaya ayrılmıştır ( bkz.RFC7616 ve RFC7617 ).

Taşıyıcı kimlik doğrulama şeması, bir belirteç kullanarak kimlik doğrulamaya adanmıştır ve RFC6750 tarafından açıklanmıştır . Bu şema bir OAuth2 spesifikasyonundan gelse bile, bunu yine de jetonların bir istemci ile bir sunucu arasında değiş tokuş edildiği diğer herhangi bir bağlamda kullanabilirsiniz.

JWT kimlik doğrulaması ile ilgili olarak ve bir belirteç olduğu için, en iyi seçim Taşıyıcı kimlik doğrulama şemasıdır. Bununla birlikte, hiçbir şey gereksinimlerinize uyan özel bir şema kullanmanızı engellemez.


41

Temel kimlik doğrulama, kimlik bilgilerini base64 kullanılarak kodlanmış kullanıcı kimliği / parola çiftleri olarak iletir. İstemciAuthorization, kelimeyiBasicve ardından bir boşluk ve birbase64-encodedkullanıcı adı: şifre dizesiniiçeren başlığı içerenHTTP isteklerini gönderir.

Yetkilendirme: Temel ZGVtbzpwQDU1dzByZA ==

görüntü açıklamasını buraya girin Not: Temel kimlik doğrulama için, kullanıcı kimliği ve parola ağ üzerinden açık metin olarak aktarıldığından (base64 kodludur, ancak base64 tersine çevrilebilir bir kodlamadır), temel kimlik doğrulama şeması güvenli değildir. HTTPS / TLS, temel kimlik doğrulama ile birlikte kullanılmalıdır.


Taşıyıcı kimlik doğrulamasında ( belirteç kimlik doğrulaması da denir), taşıyıcı belirteçler adı verilen güvenlik belirteçleri bulunur. "Taşıyıcı kimlik doğrulaması" adı, " bu jetonun sahibine erişim vermek " olarak anlaşılabilir. Taşıyıcı belirteci, genellikle bir oturum açma isteğine yanıt olarak sunucu tarafından oluşturulan şifreli bir dizedir. İstemci, korumalı kaynaklara istekte bulunurken bu belirteci Yetkilendirme başlığında göndermelidir:

Yetkilendirme: Taşıyıcı <token>

görüntü açıklamasını buraya girin

Not: Temel kimlik doğrulamaya benzer şekilde, Taşıyıcı kimlik doğrulaması yalnızca HTTPS (SSL) üzerinden kullanılmalıdır .

Daha fazla bilgi için link1 , link2


yani her ikisi de yetkilendirmedir ve gerçek yetkilendirme değildir. İlki, base64 kodlu dizeyi gönderir ve yetkilendirilirken, ikincisinde bir belirteci geri alır ve kaynağa erişmek için kullanırsınız
beyin fırtınası

jetonu kullanıcı adı / şifre üzerinden geçirmenin avantajı nedir?
Muhammad Umer

@MuhammadUmer belirteçleri iptal edebilir ve ayrıca onlara ayrıntılı erişim (yani yalnızca okuma erişimi) verebilirsiniz.
Mihai

Cevabı buldum ve belirteçle db okumak zorunda değilsiniz, belirteci doğrulamak için kripto kullanabilirsiniz, en iyisi paylaşılan oturum durumuna sahip olmayan mikro hizmetler için, ancak bir kullanıcıyı düzeltebilen yük dengeleyici var bir hizmet, ancak yine de performanslı.
Muhammad Umer
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.