堆棧內存溢出
  簡體   English   中英

考慮到它進行身份驗證而不是授權,Spring '授權' header 是用詞不當嗎?

[英]Is Spring 'authorization' header a misnomer, considering that it does authentication and not authorization?

 原文  2020-04-23 19:35:01       java/ spring-boot/ authentication/ spring-security/ authorization

問題描述

在 Spring 中,為了驗證用戶憑據,使用了“授權”header。 通常,用戶名和密碼使用某種算法(通常為基數 64)進行編碼,並在此 header 中傳遞。 但是,驗證用戶名和密碼屬於身份驗證,不是嗎? 這意味着,此“授權” header 不合適。 它應該被稱為“身份驗證”header。

閱讀https://howtodoinjava.com/spring-boot2/security-rest-basic-auth-example/

1 個解決方案

解決方案1
 1 已采納  2020-04-23 20:13:31

使用 OAuth Authorization header 用於發送 JSON ZC6E190B284633C48E39E3Z.

此令牌是身份驗證過程的結果,並保存用戶的數據,如用戶名、令牌的頒發者和管理員等角色。 它絕不應該包含密碼等敏感數據。 此外,令牌由發行者使用 rsa 密鑰簽名。

Spring 使用此令牌進行授權。 簽名經過驗證,因此沒有人可以通過創建假令牌來聲明角色。 例如,角色可以使用授予/拒絕對某些方法的訪問。

本文展示了一個示例應用程序,可以幫助您理解該概念: https://www.baeldung.com/rest-api-spring-oauth2-angular

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Spring中的Websocket身份驗證和授權 使用Spring Security進行授權和認證 Spring:使用授權標頭重定向 添加授權Header承載認證到Spring啟動Controller 使用Spring Security無需身份驗證和授權 身份驗證和授權不適用於Spring 4.0 無需身份驗證的Spring安全授權 Spring Security與自定義身份驗證和授權代碼配合得很好嗎? Spring 安全 - 使用授權進行身份驗證 Header Spring HttpHeaders-獲取授權標頭
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM