Zaimplementowałem do projektu uwierzytelnienie za pomocą JWT Bearer.
Chciałbym w nagłówku "Authorization" przekazywać sam token bez prefixu określającego schemat.
W projekcie będę używał tylko i wyłącznie jednego schematu więc dodkładanie prefixu z nazwą schematu i spacją wydaje się bezsensowne i niezbyt eleganckie.
Da się to jakoś skonfigurować aby nie trzeba było dodawać tego prefixu, a sam mechanizm uwierzytelniający stosował jeden schemat.
Ewentualnie przechwycenie nagłówka w filtrze i jego modyfikacja poprzez dodanie prefixu do nagłówka?
0
1
Z tego co się orientuje to to są jakieś standardy RFC i samego HTTP. Próbowałeś wysłać bez? Dało to jakiś rezultat?
0
Bez dostaję 401 Unauthorized
1
Schemat jest narzucony przez OAuth 2.0. Obawiam się, że ze względu na bezpieczeństwo nie jesteś w stanie go ominąć.
Kilka linków z bardziej fachowym wytłumaczeniem:
Best HTTP Authorization header type for JWT
Removing “Bearer” from token header without implementing a custom authentication scheme or parsing the token?
0
Jeśli mam jeden domyślny schemat zaimplementowany to bez sensu jest wymagane podawanie prefixu przed tokenem w nagłówku.
Pobawiłęm się przed chwilą api googla, które też bazyje na uwierzytelnieniu Oauth 2.0. Tam tokeny generowane są bez prefixu.
Zakładam, że wywołanie api googla nie wymaga podania prefixu schematu w nagłówku. Zatem jak oni to robią?
1
Myślę, że taki problem to żaden problem. Dlaczego na siłę nie chcesz podawać schematu?
0
AdamWox napisał(a):
Myślę, że taki problem to żaden problem. Dlaczego na siłę nie chcesz podawać schematu?
Tokeny będę przekazywał osobom trzecim, które będą wykorzystywały api do integracji ich systemów z moim.
Jakoś mało elegancko mi to wygląda. Chyba tylko tyle.
1
Jak już są wstanie ogarnąć pobieranie danych z twojego API i wiedzą jak używać tokenów to chyba dodatkowy wyraz w nagłówku żadnego problemu im nie sprawi. Uważam, że system powinien działać, a nie wyglądać elegancko ;-)
1
Z pełnym nagłówkiem od razu wiem z czym mam do czynienia.
Bez tego wyrazu musiałbym dokładnie sprawdzić w dokumentacji jak to działa i czym różni się od normalnego OAuth'a. Niepotrzebne zamieszanie.
1
altek napisał(a):
Jakoś mało elegancko mi to wygląda. Chyba tylko tyle.
To jest standard, wszyscy tak robią, ale pierwszy raz widzę, żeby ktoś na elegancję tego narzekał.