Resposta curta
O Bearer
esquema de autenticação é o que você está procurando.
Resposta longa
Está relacionado aos ursos?
Errr ... Não :)
De acordo com os Dicionários de Oxford , aqui está a definição de portador :
portador / ˈbɛːrə /
substantivo
Uma pessoa ou coisa que carrega ou segura alguma coisa.
Uma pessoa que apresenta um cheque ou outro pedido para pagar dinheiro.
A primeira definição inclui os seguintes sinônimos: mensageiro , agente , transportador , emissário , transportadora , provedor .
E aqui está a definição de token do portador de acordo com a RFC 6750 :
1.2 Terminologia
Token do Portador
Um token de segurança com a propriedade de que qualquer parte em posse do token (um "portador") pode usá-lo de qualquer maneira que qualquer outra parte em posse dele. O uso de um token de portador não exige que o portador comprove a posse do material da chave criptográfica (prova de posse).
O Bearer
esquema de autenticação está registrado na IANA e originalmente definido no RFC 6750 para a estrutura de autorização do OAuth 2.0, mas nada impede você de usar o Bearer
esquema para tokens de acesso em aplicativos que não usam o OAuth 2.0.
Atenha-se aos padrões o máximo que puder e não crie seus próprios esquemas de autenticação.
Um token de acesso deve ser enviado no Authorization
cabeçalho da solicitação usando o Bearer
esquema de autenticação:
2.1 Campo do cabeçalho da solicitação de autorização
Ao enviar o token de acesso no Authorization
campo de cabeçalho da solicitação definido por HTTP / 1.1, o cliente usa o Bearer
esquema de autenticação para transmitir o token de acesso.
Por exemplo:
GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM
[...]
Os clientes devem fazer solicitações autenticadas com um token de portador usando o Authorization
campo de cabeçalho da solicitação com o Bearer
esquema de autorização HTTP. [...]
Em caso de token inválido ou ausente, o Bearer
esquema deve ser incluído no WWW-Authenticate
cabeçalho da resposta:
3. O campo do cabeçalho de resposta WWW-Authenticate
Se a solicitação de recurso protegido não inclui credenciais de autenticação ou não contém um token de acesso que permita o acesso ao recurso protegido, o servidor de recursos DEVE incluir o WWW-Authenticate
campo de cabeçalho de resposta HTTP [...].
Todos os desafios definidos por esta especificação DEVEM usar o valor do esquema de autenticação Bearer
. Este esquema deve ser seguido por um ou mais valores de parametros de autenticação. [...]
Por exemplo, em resposta a uma solicitação de recurso protegido sem autenticação:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example"
E em resposta a uma solicitação de recurso protegido com uma tentativa de autenticação usando um token de acesso expirado:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example",
error="invalid_token",
error_description="The access token expired"
Bearer
palavra - chave. Mas vem do OAuth. No entanto, o JWT pode ser usado sem o OAuth. É totalmente independente das especificações do OAuth.