根据RFC6750,HTTP Authentication Scheme 应该是“Bearer”。但是这个 GitHub 文档使用 'token' 作为方案。我都试过了,似乎这两个都有效。
我的问题是:
- GitHub有什么理由使用“令牌”而不是标准?
- 这个方案是不是只要服务器能理解就可以了?
1 回答
1
协议(如 RFC6750)只是多方同意的通用标准,所以从根本上说,是的,只要客户端和服务器同意,它就可以是任何标准。
特别是 OAuth 有很多扩展 - 实现者做的事情并不完全符合规范,或者可能在规范中留下模棱两可或开放式的。刷新令牌的处理是您经常看到的一个领域。
至于 GitHub,我怀疑它们支持token标头,因为它们允许该标头用于 OAuth 令牌之外的其他类型的令牌,特别是个人访问令牌和 GitHub 应用程序令牌。
此外,在您链接的 RFC 发布之前,这些用途中的至少一些(尤其是个人访问令牌)很可能已经在使用中。
于 2020-08-27T05:27:46.143 回答