[英]Is Spring 'authorization' header a misnomer, considering that it does authentication and not authorization?
在 Spring 中,为了验证用户凭据,使用了“授权”header。 通常,用户名和密码使用某种算法(通常为基数 64)进行编码,并在此 header 中传递。 但是,验证用户名和密码属于身份验证,不是吗? 这意味着,此“授权” header 不合适。 它应该被称为“身份验证”header。
阅读https://howtodoinjava.com/spring-boot2/security-rest-basic-auth-example/
使用 OAuth Authorization
header 用于发送 JSON ZC6E190B284633C48E39E3Z.
此令牌是身份验证过程的结果,并保存用户的数据,如用户名、令牌的颁发者和管理员等角色。 它绝不应该包含密码等敏感数据。 此外,令牌由发行者使用 rsa 密钥签名。
Spring 使用此令牌进行授权。 签名经过验证,因此没有人可以通过创建假令牌来声明角色。 例如,角色可以使用授予/拒绝对某些方法的访问。
本文展示了一个示例应用程序,可以帮助您理解该概念: https://www.baeldung.com/rest-api-spring-oauth2-angular
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.