考虑到它进行身份验证而不是授权,Spring '授权' header 是用词不当吗?
[英]Is Spring 'authorization' header a misnomer, considering that it does authentication and not authorization?
问题描述
在 Spring 中,为了验证用户凭据,使用了“授权”header。 通常,用户名和密码使用某种算法(通常为基数 64)进行编码,并在此 header 中传递。 但是,验证用户名和密码属于身份验证,不是吗? 这意味着,此“授权” header 不合适。 它应该被称为“身份验证”header。
阅读https://howtodoinjava.com/spring-boot2/security-rest-basic-auth-example/
1 个解决方案
解决方案1
1 已采纳 2020-04-23 20:13:31
使用 OAuth Authorization header 用于发送 JSON ZC6E190B284633C48E39E3Z.
此令牌是身份验证过程的结果,并保存用户的数据,如用户名、令牌的颁发者和管理员等角色。 它绝不应该包含密码等敏感数据。 此外,令牌由发行者使用 rsa 密钥签名。
Spring 使用此令牌进行授权。 签名经过验证,因此没有人可以通过创建假令牌来声明角色。 例如,角色可以使用授予/拒绝对某些方法的访问。
本文展示了一个示例应用程序,可以帮助您理解该概念: https://www.baeldung.com/rest-api-spring-oauth2-angular
添加授权Header承载认证到Spring启动Controller
[英]Add Authorization Header Bearer Authentication to Spring Boot Controller
Spring Security与自定义身份验证和授权代码配合得很好吗?
[英]Does Spring Security go well with custom authentication and authorization code?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.