【发布时间】:2015-05-26 04:24:23
【问题描述】:
我正在实现类似 REST 的 API,并且我想使用访问令牌添加授权。我知道有两种不同的方式将令牌从客户端传递到服务器:
- 授权标头
- /api/example?token= 作为查询参数
使用第二个选项,一切都简单而美好 - 只需获取 token 查询参数提供的任何值并使用它。
授权标头稍微复杂一些 - 我看到规范和其他实现使用前缀“Bearer”以“Bearer token”的形式使用前缀“Bearer”,而不是简单地添加令牌作为值
假设我不关心规范所说的内容,并且我的 API 可以仅通过单一授权策略使用 - 如果我省略“Bearer”并仅提供 token 值,我是否会丢失任何东西?
我只是看不出增加额外的努力来解析服务器上的字符串只是为了获取令牌,而我只能发送令牌值。我错过了什么吗?
【问题讨论】:
标签: rest authorization access-token