Web API uygulamamda JWT tabanlı Kimlik Doğrulama oluşturdum. Arasındaki farkı anlayamıyorum
- Temel Jeton
- Taşıyıcı Jetonu
Lütfen birisi bana yardım edebilir mi?
Web API uygulamamda JWT tabanlı Kimlik Doğrulama oluşturdum. Arasındaki farkı anlayamıyorum
Lütfen birisi bana yardım edebilir mi?
Yanıtlar:
Temel ve Özet kimlik doğrulama şemaları, bir kullanıcı adı ve bir sır kullanarak kimlik doğrulamaya ayrılmıştır ( bkz.RFC7616 ve RFC7617 ).
Taşıyıcı kimlik doğrulama şeması, bir belirteç kullanarak kimlik doğrulamaya adanmıştır ve RFC6750 tarafından açıklanmıştır . Bu şema bir OAuth2 spesifikasyonundan gelse bile, bunu yine de jetonların bir istemci ile bir sunucu arasında değiş tokuş edildiği diğer herhangi bir bağlamda kullanabilirsiniz.
JWT kimlik doğrulaması ile ilgili olarak ve bir belirteç olduğu için, en iyi seçim Taşıyıcı kimlik doğrulama şemasıdır. Bununla birlikte, hiçbir şey gereksinimlerinize uyan özel bir şema kullanmanızı engellemez.
Temel kimlik doğrulama, kimlik bilgilerini base64 kullanılarak kodlanmış kullanıcı kimliği / parola çiftleri olarak iletir. İstemciAuthorization
, kelimeyiBasic
ve ardından bir boşluk ve birbase64-encoded
kullanıcı adı: şifre dizesiniiçeren başlığı içerenHTTP isteklerini gönderir.
Yetkilendirme: Temel ZGVtbzpwQDU1dzByZA ==
Not: Temel kimlik doğrulama için, kullanıcı kimliği ve parola ağ üzerinden açık metin olarak aktarıldığından (base64 kodludur, ancak base64 tersine çevrilebilir bir kodlamadır), temel kimlik doğrulama şeması güvenli değildir. HTTPS / TLS, temel kimlik doğrulama ile birlikte kullanılmalıdır.
Taşıyıcı kimlik doğrulamasında ( belirteç kimlik doğrulaması da denir), taşıyıcı belirteçler adı verilen güvenlik belirteçleri bulunur. "Taşıyıcı kimlik doğrulaması" adı, " bu jetonun sahibine erişim vermek " olarak anlaşılabilir. Taşıyıcı belirteci, genellikle bir oturum açma isteğine yanıt olarak sunucu tarafından oluşturulan şifreli bir dizedir. İstemci, korumalı kaynaklara istekte bulunurken bu belirteci Yetkilendirme başlığında göndermelidir:
Yetkilendirme: Taşıyıcı <token>
Not: Temel kimlik doğrulamaya benzer şekilde, Taşıyıcı kimlik doğrulaması yalnızca HTTPS (SSL) üzerinden kullanılmalıdır .