设计 API 授权,或者调用第三方 API 时,经常会接触到:
Authorization : Bearer tokenxxxxxxxx
疑惑为啥不直接写成
Authorization : tokenxxxxxxxx
这样因为W3C 的HTTP1.0规范,Authorization头参数的格式是:
Authorization: <type> <credentials>
它允许网络技术堆栈中的用户代理(例如,浏览器)向服务器展示认证信息(如令牌、用户名密码对),以完成身份验证过程。这一过程常在服务器需要确认发起请求的客户端是否具备资源访问权限时发生。
注意:Type 与 credentials
中间有个英文班角符号的空格
所以 Bearer 是授权的类型,常见的授权类型还有:
https://www.leftso.com/article/2408191722434498.html