Почему JWT нужно отправлять в качестве заголовка Bearer Token?

Question

Я добавляю JWT Auth для совершенно нового внешнего интерфейса в унаследованный бэкэнд Rails.

По запросу HTTP большинство источников предлагают отправить токен обратно на сервер через Bearer Header.

Почему?Какова дополнительная стоимость отправки через заголовок (на предъявителя или основной).Что я не могу просто передать JWT обратно на сервер через .json и оттуда аутентифицировать токен.

Какую выгоду дает мне заголовок авторизации, и более того, что дает мне заголовок авторизации носителя?

Конечно, я могу просто последовать примеру каждого, но хочу понять, почему.Документы на предъявителя являются многословными и их трудно понять, что я получаю от простой отправки JWT как части данных в запросе.

Спасибо.

Answer 1

Технически вы можете отправлять тело json при каждом запросе с помощью JTW, но это будет нестандартное поведение (например, запросы GET не должны иметь тело через спецификацию).

Более стандартный способ - предоставить HTTP-заголовок Authorization.Заголовок Authorization не является специфическим для JWT, и его роль заключается в указании схемы аутентификации между клиентом и сервером.Другим способом было бы включить JWT в cookie, но это сделало бы браузер поведения специфичным, в то время как заголовок HTTP мог бы быть отправлен практически любым HTTP-клиентом.

PS Имейте в виду, что в отличие от куки-файлов Auth, которые отправляютсябраузером автоматически клиент должен явно установить заголовок Authorization.