如何正確使用Bearer令牌？

Question

我正在用PHP創建一個授權系統，我遇到了傳遞JWT令牌的Bearer方案，我閱讀了RFC 6750 。 我有以下疑惑：

1. 這是如何改善安全性的？
2. 在成功授權和登錄后，服務器在其主體中響應客戶端使用JWT令牌，現在當客戶端發出另一個請求時，我不清楚如何實際執行此操作，我想在客戶端的Authorization頭中發送令牌請求，所以我現在應該只將“Bearer”加到我在服務器上一次響應中收到的令牌前面，如果是，那么服務器在收到Authorization標頭時，應該只用空格分割字符串，然后取出第二個值獲得的數組然后解碼嗎？ 例如Authorization: Bearer fdbghfbfgbjhg_something ，服務器應該如何處理這個， decodeFunc(explode(" ", $this->getRequest()->getHeader("Authorization"))[1]) ？

Answer 1

1.提高安全性，因為如果在url中發送的標頭中沒有發送令牌，它將被網絡系統記錄，服務器日志....

2.獲得Bearer令牌的良好功能

/** 
 * Get header Authorization
 * */
function getAuthorizationHeader(){
        $headers = null;
        if (isset($_SERVER['Authorization'])) {
            $headers = trim($_SERVER["Authorization"]);
        }
        else if (isset($_SERVER['HTTP_AUTHORIZATION'])) { //Nginx or fast CGI
            $headers = trim($_SERVER["HTTP_AUTHORIZATION"]);
        } elseif (function_exists('apache_request_headers')) {
            $requestHeaders = apache_request_headers();
            // Server-side fix for bug in old Android versions (a nice side-effect of this fix means we don't care about capitalization for Authorization)
            $requestHeaders = array_combine(array_map('ucwords', array_keys($requestHeaders)), array_values($requestHeaders));
            //print_r($requestHeaders);
            if (isset($requestHeaders['Authorization'])) {
                $headers = trim($requestHeaders['Authorization']);
            }
        }
        return $headers;
    }
/**
 * get access token from header
 * */
function getBearerToken() {
    $headers = getAuthorizationHeader();
    // HEADER: Get the access token from the header
    if (!empty($headers)) {
        if (preg_match('/Bearer\s(\S+)/', $headers, $matches)) {
            return $matches[1];
        }
    }
    return null;
}

Answer 2

如果它是一個有效的jwt-token，我建議使用以下RegEx來檢查：

/Bearer\s((.*)\.(.*)\.(.*))/

並使用匹配[1]訪問它。

這是JWT-Token的結構，請參閱： https ： //jwt.io/