OAuth 2.0授权标头
我想开发一个封装了OAuth 2.0function的SDK。 我已经检查了OAuth 1.0和2.0之间的差异,并且我对授权标头( 1.0和2.0 )有些疑惑,OAuth 1.0协议参数可以使用HTTP“授权”标头进行传输,但是我无法在当前OAuth 2.0草案。
OAuth 2.0是否支持授权标题?
在OAuth 1.0中,您的标题将如下所示:
Authorization: OAuth realm="Example", oauth_consumer_key="0685bd9184jfhq22", oauth_token="ad180jjd733klru7", oauth_signature_method="HMAC-SHA1", oauth_signature="wOJIO9A2W5mFwDgiDvZbTSMK%2FPY%3D", oauth_timestamp="137131200", oauth_nonce="4572616e48616d6d65724c61686176", oauth_version="1.0"
对于那些寻找如何在头中传递OAuth2授权(访问令牌)的示例(与使用请求或主体参数相反),以下是如何完成的:
Authorization: Bearer 0b79bab50daca910b000d4f1a2b675d604257e42
您仍然可以在OAuth 2.0中使用Authorization标头。 在授权标头中指定的承载types与OAuth承载令牌一起使用(意味着客户端应用只需呈现(“承载”)令牌)。 头部的值是客户端从授权服务器接收到的访问令牌。
它在这个规范中有记载: https : //tools.ietf.org/html/rfc6750#section-2.1
例如:
GET /resource HTTP/1.1 Host: server.example.com Authorization: Bearer mF_9.B5f-4.1JqM
其中mF_9.B5f-4.1JqM是您的OAuth访问令牌。