我们有一个不维护状态(甚至不是会话状态)的Web服务,因此我们在服务器和包含客户端加密状态的客户端之间传输JWT令牌.
但是,我们还希望使用服务器的标准授权功能(如基本身份验证)来保护Web服务端点.
我在JWT令牌周围看到的所有文档都表明它们应该通过Authorization标头发送,这使得它与基本身份验证之类的东西不兼容.我知道没有什么可以阻止我们通过另一个标头发送令牌,但是有一些最佳实践可以混合使用Authorization标头和JWT令牌的标准授权技术吗?如果不这样做,是否有任何指导方针或做法表明你不应该在授权以外的标题中发送JWT令牌?
| 归档时间: |
|
| 查看次数: |
520 次 |
| 最近记录: |