151 votes

Quelle est la différence entre JWTs et Porteur du Jeton?

Je suis en train d'apprendre quelque chose au sujet de l'Autorisation Basic, Digest, OAuth2.0, JWTs, et le Porteur du Jeton.

Maintenant j'ai une question.

Vous connaissez le JWTs est utilisé comme un Access_Token dans le OAuth2.0 standard. JWTs apparaît au RFC 7519, et le Porteur du Jeton est à la RFC 6750 .

Par exemple, le Porteur:

Authorization: Bearer <token>

J'ai utilisé pour envoyer jeton de serveur en AJAX ou ajouter un signe à la chaîne de requête de l'url. Je sais qu'un pion peut également être envoyé en l'ajoutant un en-tête de requête. Est-ce à dire que le jeton doit être ajouté à Autorisation au Porteur en-tête?

Pourriez-vous me dire la relation entre JWTs et Porteur du Jeton? Merci beaucoup.

181voto

rmharrison Points 1163

Réponse courte

JWTs sont un moyen pratique pour encoder et de vérifier les allégations.

Un Porteur du jeton est juste de la chaîne, potentiellement arbitraire, qui est utilisé pour l'autorisation.

Contexte (histoire du temps)

Il y A quelques années, avant de le JWT révolution, <token> était juste une chaîne de caractères sans signification intrinsèque, par exemple 2pWS6RQmdZpE0TQ93X. Ce jeton a ensuite été examiné dans une base de données, qui a tenu les revendications de ce jeton. L'inconvénient de cette approche est qu'DB accès (ou un cache) est nécessaire chaque fois que le jeton est utilisé.

JWTs encoder et de vérifier (via la signature) de leurs propres revendications. Cela permet aux gens de problème à court vécu JWTs qui sont apatrides (lire: autonome, ne dépend pas de quelqu'un d'autre). Ils n'ont pas besoin de frapper à la DB. Cela réduit DB charge et simplifie l'architecture de l'application, car seul le service de la JWTs besoin de vous soucier de frapper le DB/couche de persistance ( refresh_token vous avez probablement venu à travers).

121voto

Thilo Points 108673

JWT est une norme de codage pour les jetons qui contient un JSON charge utile de données qui peuvent être signés et chiffrés.

JWT peut être utilisé pour beaucoup de choses, parmi ceux qui sont porteur de jetons, c'est à dire un élément d'information que vous pouvez présenter à certains services qui, en vertu de vous l'avoir (vous le "porteur") qui vous donne accès à quelque chose.

Porteur de jetons peut être inclus dans une requête HTTP de différentes façons, l'un d'entre eux (probablement le préféré un) étant l'en-tête d'Autorisation. Mais vous pouvez aussi la mettre en paramètre de la requête, un cookie ou le corps de la requête. Qui est la plupart du temps entre vous et le serveur que vous tentez d'accéder.

-5voto

Ehtasham Nasir Points 92

JWTs travailler avec deux types de jeton, Paramètre Jeton: jeton d'Accès passe en paramètre. Porteur du Jeton: il passe en tête avec "Porteur".

Veuillez lire la question suivante aussi:

Ce sont au Porteur Jetons et token_type dans OAuth 2?

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

X