Запрос на использование Authorization: bearer [token]
может использоваться для аутентификации?
или
Следует ли использовать другой метод аутентификации клиента и выдавать токен, а затем использовать токен в качестве маркера-носителя, например, OAuth2?
Почему популярные веб-службы (например, Github, AWS, Google..) используют другой метод (например, AWS: Authorization: AWS4-HMAC-SHA256
Credential=...
) для аутентификации клиента. Вопрос заключается в следующем: есть ли какие-либо ценности или нарушение стандартов в следующем потоке или нет.
Я хотел бы использовать следующий поток:
the client
: это как клиент Twitter. the server
: это похоже на API Twitter.
- клиент делает маркер (зашифрованный идентификатор пользователя, пароль и т.д.).
- клиент запрашивает ресурс на сервере с помощью
Authorization: bearer [token]
. - сервер расшифровывает токен и аутентифицирует клиента.
- сервер отвечает за ресурс.
Я читал следующий RFC, но я не нашел причин, почему я не должен или должен использовать поток выше.
https://tools.ietf.org/html/rfc7235
https://tools.ietf.org/html/rfc6750
Спасибо