弄清楚 Web API 中的基本身份验证如何与 SSL 配合使用后,我想要执行以下操作:
客户端通过身份验证后,向客户端发送一个带有到期日期的令牌(现在我认为这应该只是 GUID),之后令牌将变得无用,客户端将不得不再次进行身份验证。
我的问题是知道客户端如何在后续请求中发送此令牌?是否应寄送:
a) JSON payload or
b) part of header
如果是 a) 那么没有正文并因此没有 JSON 负载的 GET 请求怎么样?
如果b)那么它应该在标题中被称为什么...或者我可以将其称为任何东西?就像,
authToken: Asdhad-asdlad-82hjf-adkga
?
另外,由于我使用的是 SSL,我不知道使用令牌或仅使用用户凭据是否更好?
请告诉我这里的标准是什么,还是我走错了方向?
将令牌放入授权标头中,并将其命名为:“bearer ej304305340Mytoken”。 SSL 用于用户+密码的身份验证以及后续使用令牌的请求。