下面两个标题有什么区别?更喜欢哪个?
X-Auth-Token : dadas123sad12
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Authorization
是客户端用于 鉴定 中所预见的HTTP中的对等体。RFC 7235. 它经常与 Basic
根据 RFC 7617但这不是必然的。
该 Basic
方案允许客户提供一个用户名-密码对,用冒号隔开 (:
)用Base64编码。必须强调的是,这是一个 运输编码 并没有提供真正的安全好处。例如,你所举的例子可以轻而易举地被 "解密 "为 Aladdin:open sesame
.
通过 IANA HTTP认证方案注册表 (另见: RFC 7235,sec.5.1 5.1),你会发现 Bearer
方案(定义在RFC 6750中),它与OAuth 2.0密切相关。X-Auth-Token
在这里,它几乎提供了一条捷径,因为它(大概)既不依赖于OAuth,也不依赖于HTTP认证框架。
请注意,有了 X-Auth-Token
作为 未注册的页眉它没有正式的规范,其存在和内容总是与各自的应用相联系。不能对它做出一般的假设。
'Authorization.Basic'表示基本的认证,浏览客户端必须提供用户名和密码。基本 "意味着基本认证,浏览客户端必须在每次请求中提供用户名和密码。
在'x-auth-token'的情况下,用户第一次必须提供用户名密码,服务器在头栏'x-auth-token'中返回一个访问令牌。在以后的会话中,将交换这个令牌,而不是用户名密码。