oauth - token生成 - token header or body




JWT和Bearer Token有什么区别? (2)

我正在学习像Basic,Digest,OAuth2.0,JWT和Bearer Token这样的授权。

现在我有一个问题。

您知道JWT在OAuth2.0标准中被用作Access_Token。 JWT出现在RFC 7519中,而Bearer Token出现在RFC 6750中。

例如,持票人:

Authorization: Bearer <token>

我曾经通过AJAX向服务器发送令牌或者将令牌添加到url的查询字符串中。 我知道也可以通过将令牌添加到请求标头来发送令牌。 这是否意味着应该将令牌添加到Authorization Bearer标头?

你能告诉我JWT和Bearer Token之间的关系吗? 非常感谢。


简短的回答

JWT是 编码 验证 声明 的便捷方式。

承载令牌只是字符串,可能是任意的,用于授权。

背景(故事时间)

几年前,在JWT革命之前, <token> 只是一个没有内在意义的字符串,例如2pWS6RQmdZpE0TQ93X。 然后在数据库中查找该令牌,该数据库持有该令牌的声明。 这种方法的缺点是每次使用令牌时都需要DB访问(或缓存)。

JWT 编码 验证 (通过签名)他们自己的 声明 。 这允许人们发布无状态的短命JWT(读:自包含,不依赖于任何其他人)。 他们不需要打DB。 这减少了数据库负载并简化了应用程序体系结构,因为只有发布JWT的服务需要担心命中DB /持久层(您可能遇到过的 refresh_token )。