## 概述 Bearer Token 是一種用于身份驗證的訪問令牌，它授權持有者（Bearer）訪問資源的權限。當你向服務器發送請求時，你可以在請求頭中攜帶`Bearer Token`，服務器會根據這個 Token 來驗證你的身份并授權你所請求的操作。 它通常用于 OAuth 2.0 認證框架中，用來驗證訪問者的身份并授予其相應的權限。Bearer Token 是一種加密的字符串，客戶端在每次請求時將其附加到 HTTP 請求頭中，從而使服務器能夠識別并授權該請求。 ## 基本概念 Bearer Token 是一種無狀態的、短期的、可撤銷的憑證，它被設計用來在客戶端與服務器之間傳遞身份驗證信息。所謂無狀態，意味著服務器不需要保存任何關于 Bearer Token 的會話信息，只需要在收到請求時驗證該 Token 的有效性。這樣做的好處是減少了服務器的負擔，提升了系統的擴展性。 Bearer Token 通常是由身份提供者（Identity Provider, IdP）生成的，這些身份提供者可以是 OAuth 2.0 的授權服務器。客戶端通過特定的授權流程（如授權碼流程、密碼憑證流程等）獲取 Bearer Token，之后便可在調用受保護資源時使用該 Token。 ## 工作原理 當用戶成功登錄后，服務器會生成一個`Bearer Token`并返回給客戶端，客戶端隨后在發起請求時，會在 HTTP 頭部包含這個 Token。 `Bearer Token`在請求頭中以 Bearer 關鍵字加上令牌本身的形式發送，格式通常為`Authorization: Bearer <token>`。服務器接收到請求后，會檢查請求頭中的 Authorization 字段，如果它以 Bearer 關鍵字開頭，服務器就會提取出后面的令牌，并使用令牌來驗證請求的合法性和授權級別，確認無誤后提供請求的資源。 ~~~ +-----------------------------+ +-----------------------------+ | | | | | 用戶登錄 | | 服務器生成 Bearer Token | | | | | +-----------------------------+ +--------------+--------------+ | | v v +-----------------------------+ +--------------+--------------+ | | | | | | | | | 客戶端發起請求 +---------> Bearer Token 發送給客戶端 | | | | | | | | | +-----------------------------+ +--------------+--------------+ | v +--------------+--------------+ | | | | | 客戶端發起請求并攜帶 | | Bearer Token | | | | | +--------------+--------------+ | v +--------------+--------------+ | | | | | 服務器接收請求并驗證 | | Bearer Token | | | | | +--------------+--------------+ | v +--------------+--------------+ | | | | | 服務器返回資源給客戶端 | | | | | +--------------+--------------+ ~~~ ## 使用示例 ### 客戶端請求授權 客戶端向授權服務器發送請求，獲取訪問 Token。這個請求可能是這樣的： ``` POST /oauth/token HTTP/1.1 Host: auth.example.com Content-Type: application/x-www-form-urlencoded grant_type=client_credentials&client_id=your_client_id&client_secret=your_client_secret ``` 在這個請求中，`grant_type`表示授權類型，`client_id`和`client_secret`是客戶端的憑證。 ### 授權服務器頒發 Token 授權服務器驗證客戶端的憑證后，生成一個 Bearer Token 并返回給客戶端： ```json { "access_token": "eyJhbGciOiJIUzI1NiIsxxxsw5c", "token_type": "bearer", "expires_in": 3600 } ``` 在這個響應中，`access_token`是 Bearer Token，`token_type`表示令牌類型（此處為`bearer`），`expires_in`表示令牌的有效期（以秒為單位）。 ### 客戶端使用 Token 訪問資源 客戶端在每次請求受保護的資源時，將 Bearer Token 放在請求頭中。例如，客戶端想要訪問`api.example.com`上的某個受保護的資源： ```json GET /api/resource HTTP/1.1 Host: api.example.com Authorization: Bearer eyJhbGciOiJIUzI1NiIsxxxsw5c ``` 在這個請求中，`Authorization`頭包含了`Bearer`關鍵字和 Bearer Token。 ### 資源服務器驗證 Token 資源服務器在收到請求后，會解析并驗證 Bearer Token。如果 Token 有效且未過期，服務器會處理請求并返回相應的資源；如果 Token 無效或已過期，服務器會返回 401 未授權錯誤。 ``` HTTP/1.1 401 Unauthorized Content-Type: application/json;charset=UTF-8 { "code": 0, "msg": "唯一憑證密鑰格錯誤", "data": {} } ``` ### Bearer Token 的優點 > Bearer Token 作為一種認證機制，有許多優點： 1. **簡單易用**：Bearer Token 通過 HTTP 請求頭進行傳輸，使用起來非常簡單，不需要復雜的會話管理。 2. **無狀態**：Bearer Token 是無狀態的，服務器不需要存儲會話信息，減少了服務器的負擔，提高了系統的擴展性。 3. **靈活**：Bearer Token 可以在不同的客戶端和服務器之間傳遞，適用于多種場景和平臺。 4. **安全性**：通過使用 HTTPS 傳輸，Bearer Token 的安全性得到了保障。同時，Token 本身可以包含加密的信息，進一步提升了安全性。 ### Bearer Token 的安全考慮 > 盡管 Bearer Token 有許多優點，但在實際應用中仍需注意其安全性。以下是一些關鍵的安全考慮： 1. **使用 HTTPS**：Bearer Token 必須通過 HTTPS 傳輸，以防止 Token 在傳輸過程中被竊取。 2. **短期有效性**：Bearer Token 通常設置為短期有效，以減少 Token 被盜后的風險。可以結合刷新 Token 機制來延長用戶會話。 3. **限制 Token 權限**：Bearer Token 應該盡可能限制其權限，只授予客戶端所需的最小權限。 4. **監控和撤銷 Token**：服務器應監控 Bearer Token 的使用情況，發現異常行為時應立即撤銷相應的 Token。 5. **保護 Token 存儲**：客戶端應妥善保護存儲 Bearer Token 的位置，防止 Token 被惡意軟件或其他攻擊者竊取。 ## 前端如何使用 在發送請求時，將其攜帶在請求頭（Header）的 `Authorization` 字段中，其字段值為 `Bearer` 關鍵字加上令牌本身。 > 以下以 JavaScript 的 Axios 庫為例 ~~~ const axios = require('axios') const url = 'https://api.example.com/data' // 替換為你要訪問的 API 地址 const token = 'your_bearer_token' // 替換為你的 Bearer Token axios .get(url, { headers: { Authorization: 'Bearer ' + token, }, }) .then(function (response) { console.log('請求成功:', response.data) }) .catch(function (error) { console.error('請求失敗:', error) }) ~~~ > 以下以 Postman 請求為例