Réponse courte
Le Bearer
schéma d'authentification est ce que vous recherchez.
Longue réponse
Est-ce lié aux ours?
Euh ... Non :)
Selon les dictionnaires Oxford , voici la définition du porteur :
porteur / ˈbɛːrə /
nom
Une personne ou une chose qui porte ou détient quelque chose.
Une personne qui présente un chèque ou un autre ordre de paiement.
La première définition comprend les synonymes suivants: messager , agent , convoyeur , émissaire , transporteur , fournisseur .
Et voici la définition du jeton de porteur selon la RFC 6750 :
1.2. Terminologie
Jeton de porteur
Un jeton de sécurité avec la propriété que toute partie en possession du jeton (un "porteur") peut utiliser le jeton de la même manière que toute autre partie en possession de celui-ci. L'utilisation d'un jeton de porteur n'exige pas d'un porteur qu'il prouve la possession de matériel de clé cryptographique (preuve de possession).
Le Bearer
schéma d'authentification est enregistré dans IANA et défini à l'origine dans la RFC 6750 pour le cadre d'autorisation OAuth 2.0, mais rien ne vous empêche d'utiliser leBearer
schéma pour les jetons d'accès dans les applications qui n'utilisent pas OAuth 2.0.
Respectez les normes autant que possible et ne créez pas vos propres schémas d'authentification.
Un jeton d'accès doit être envoyé dans l'en- Authorization
tête de la demande à l'aide du Bearer
schéma d'authentification:
2.1. Champ d'en-tête de demande d'autorisation
Lors de l'envoi du jeton d'accès dans le Authorization
champ d'en-tête de demande défini par HTTP / 1.1, le client utilise le Bearer
schéma d'authentification pour transmettre le jeton d'accès.
Par exemple:
GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM
[...]
Les clients DEVRAIENT faire des demandes authentifiées avec un jeton de support en utilisant le Authorization
champ d'en-tête de demande avec le Bearer
schéma d'autorisation HTTP. [...]
En cas de jeton invalide ou manquant, le Bearer
schéma doit être inclus dans l'en- WWW-Authenticate
tête de réponse:
3. Le champ d'en-tête de réponse d'authentification WWW
Si la demande de ressource protégée n'inclut pas les informations d'authentification ou ne contient pas de jeton d'accès permettant l'accès à la ressource protégée, le serveur de ressources DOIT inclure le HTTP WWW-Authenticate
champ d'en-tête de réponse [...].
Tous les défis définis par cette spécification DOIVENT utiliser la valeur du schéma d'authentification Bearer
. Ce schéma DOIT être suivi d'une ou plusieurs valeurs d'auth-param. [...].
Par exemple, en réponse à une demande de ressource protégée sans authentification:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example"
Et en réponse à une demande de ressource protégée avec une tentative d'authentification utilisant un jeton d'accès expiré:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example",
error="invalid_token",
error_description="The access token expired"
Bearer
mot - clé. Mais cela vient d'OAuth. Cependant, JWT peut être utilisé sans OAuth. Il est totalement indépendant avec les spécifications OAuth.