वेब एपीआई प्रमाणीकरण बेसिक बनाम बियरर

मैंने अपने वेब एपीआई एप्लिकेशन में JWT आधारित प्रमाणीकरण बनाया है। मैं इसके बीच के अंतर का पता नहीं लगा पा रहा हूं

1. बेसिक टोकन
2. बियरर टोकन

क्या कोई मेरी सहायता कर सकता है?

बेसिक और डाइजेस्ट ऑथेंटिकेशन स्कीम एक यूज़रनेम और एक सीक्रेट ( RFC7616 और RFC7617 देखें ) का उपयोग करके ऑथेंटिकेशन के लिए समर्पित है ।

बियरर प्रमाणीकरण योजना एक टोकन का उपयोग करके प्रमाणीकरण के लिए समर्पित है और इसे RFC6750 द्वारा वर्णित किया गया है । यहां तक ​​कि अगर यह योजना OAuth2 विनिर्देशन से आती है, तो भी आप इसे किसी अन्य संदर्भ में उपयोग कर सकते हैं जहां टोकन ग्राहक और सर्वर के बीच आदान-प्रदान करते हैं।

JWT प्रमाणीकरण के बारे में और जैसा कि यह एक टोकन है, सबसे अच्छा विकल्प बियरर प्रमाणीकरण योजना है। फिर भी, कुछ भी आपको एक कस्टम योजना का उपयोग करने से रोकता है जो आपकी आवश्यकताओं पर फिट हो सकता है।

आधारभूत प्रमाणीकरण, क्रेडेंशियल को यूजर आईडी / पासवर्ड जोड़े के रूप में प्रसारित करता है, जो बेस 64 का उपयोग करके इनकोड किया गया है। क्लाइंटAuthorizationहैडर केसाथ HTTP रिक्वेस्ट भेजताहै जिसमेंBasicस्पेस और उसके बाद एकbase64-encodedयूजर नेमशब्द होता है: पासवर्ड।

प्राधिकरण: मूल ZGVtbzpwQDU1dzByZA ==

नोट: बुनियादी प्रमाणीकरण के लिए, उपयोगकर्ता आईडी और पासवर्ड नेटवर्क पर स्पष्ट पाठ के रूप में पारित किए जाते हैं (यह बेस 64 एनकोडेड है, लेकिन बेस 64 एक प्रतिवर्ती एन्कोडिंग है), मूल प्रमाणीकरण योजना सुरक्षित नहीं है। मूल प्रमाणीकरण के साथ HTTPS / TLS का उपयोग किया जाना चाहिए।

बियरर प्रमाणीकरण (जिसे टोकन प्रमाणीकरण भी कहा जाता है ) में सुरक्षा टोकन होते हैं जिन्हें बियरर टोकन कहा जाता है। नाम "बियरर ऑथेंटिकेशन" के रूप में समझा जा सकता है " इस टोकन के वाहक को पहुंच प्रदान करें ।" वाहक टोकन एक गुप्त स्ट्रिंग है, जो आमतौर पर लॉगिन अनुरोध के जवाब में सर्वर द्वारा उत्पन्न होता है। ग्राहक को संरक्षित संसाधनों के लिए अनुरोध करते समय प्राधिकरण के हेडर में यह टोकन भेजना होगा:

प्राधिकरण: बियरर <टोकन>

नोट: मूल प्रमाणीकरण के समान, बियरर प्रमाणीकरण केवल HTTPS (SSL) से अधिक उपयोग किया जाना चाहिए ।

अधिक जानकारी के लिए link1 , link2