JWT pourquoi nous avons besoin de mot au porteur?

Question

J'ai vu beaucoup d'exemples avec JWT, et tous ont le mot Bearer. je construire un service auth sur spring(Java) avec la version com.auth0.java-jwt3.2.0, et ce que je fais quand je reçois Authentication header de demande, que je vous appelle requestHeader.substring(7) parce que ce JWT lib n'a besoin que symbolique, il ne pas utiliser ce Bearer . Alors pourquoi est-ce Bearer nécessaire en général?)

Answer 1

L'authentification au porteur est l'endroit où vous utilisez quelque chose que vous connaissez et envoyez quelque chose à la partie que vous authentifiez pour prouver votre identité. C'est ce qu'on appelle une authentification de l'acheteur. Donc, quand je vous envoie un jeton au porteur, vous avez potentiellement assez d'informations pour me faire passer pour quelqu'un dans un certain contexte. La norme JWT est suffisamment flexible pour que des stratégies plus sécurisées soient également possibles. Ses en-têtes vous demandent donc de spécifier la stratégie que vous utilisez. Par exemple, vous pouvez prouver que vous avez une clé cryptographique spécifique. Cela différerait de l'authentification du support car si quelqu'un d'autre n'avait pas cette clé, il ne pourrait pas générer de demandes futures.