Bearer-token
2 года назад
Ivan Gagarinov
Ответы
Bearer-токен — это тип авторизационного токена, который предоставляется пользователю после успешной аутентификации для доступа к защищенным ресурсам. Этот токен обычно представляет собой строку, которую пользователь должен передавать в заголовке HTTP-запроса для каждого запроса к защищенному сервису или приложению.
Bearer-токен используется для идентификации пользователя и предоставления доступа к его личным данным или другим защищенным ресурсам. Он должен храниться в безопасном месте и не передаваться третьим лицам.
Bearer-токен обеспечивает простой механизм аутентификации и авторизации пользователей без необходимости использования cookies или сессий. Он является частью стандарта аутентификации OAuth 2.0 и широко используется во многих современных веб-приложениях и API.
Пример запроса:
В данном примере Bearer token представлен в заголовке Authorization. Вместо значения Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvZSBEb2UiLCJhZG1pbiI6dHJ1ZSwiaWF0IjoxNTE2MjM5MDIyfQ.SdUMMAsFFk83SHyqGjfQ1pt8v_8t4WZku5Ty3CLMaH4 должен быть ваш актуальный Bearer-токен для доступа к защищенным ресурсам.
Обычно, чтобы получить этот токен, нужно сделать запрос на авторизацию, и в ответе приходит этот токен.
Пример запроса:
Пример ответа:
2 года назад
Ivan Gagarinov
Bearer-токен
Bearer-токен — это строка, которую клиент передаёт серверу, чтобы доказать, что он имеет право делать запрос. Дословно «bearer» — «предъявитель»: сервер доверяет любому, кто предъявил токен, без дополнительных проверок.
Как это работает
Пароль передаётся один раз. Дальше работает только токен.
Как передаётся в запросе
Токен передаётся в заголовке Authorization с префиксом Bearer:
Как получить токен (Python)
Что внутри токена
Чаще всего Bearer-токен — это JWT (JSON Web Token). Он состоит из трёх частей, разделённых точкой:
Данные в JWT не зашифрованы — их можно прочитать. Но подделать нельзя: сервер проверяет подпись.
Где хранить токен
Главные правила
- Передавайте токен только по HTTPS — по HTTP его перехватят.
- Устанавливайте срок жизни токена: час-два для чувствительных данных, до 30 дней для мобильных приложений.
- Не храните токен в коде и не коммитьте в репозиторий.
- При выходе пользователя — инвалидируйте токен на сервере или используйте чёрный список.
2 месяца назад
Никита Вихров





