JWT warum brauchen wir Trägerwort?

Question

Ich habe viele Beispiele mit JWT gesehen, und alle von ihnen haben das Wort Bearer. ich auf spring(Java) mit com.auth0.java-jwt Version 3.2.0, einen Auth-Service haben bauen und was ich tue, wenn ich Authentication header von Anfrage bekommen habe, dass ich requestHeader.substring(7) ich rufe an, weil diese JWT lib nur Token benötigt, verwenden Sie es nicht über diese Bearer . Warum wird diese Bearer im Allgemeinen benötigt?)

Answer 1

Bei der Bearer-Authentifizierung verwenden Sie etwas, das Sie kennen, und senden dieses an die Partei, die Sie authentifizieren, um Ihre Identität zu bestätigen. Dies wird als Barer-Authentifizierung bezeichnet. Wenn ich dir also ein Bearer-Token sende, hast du möglicherweise genug Informationen, um mich in einem bestimmten Kontext zu imitieren. Der JWT-Standard ist flexibel genug, dass auch sicherere Strategien möglich sind. Daher müssen Sie bei den Kopfzeilen angeben, welche Strategie Sie verwenden. Zum Beispiel könnten Sie beweisen, dass Sie einen bestimmten kryptografischen Schlüssel haben. Dies würde sich von der Bearer-Authentifizierung insofern unterscheiden, als dass jemand, der diesen Schlüssel nicht hat, keine zukünftigen Anfragen generieren kann.