背景
在认证机制中,Bearer 是一种常见的令牌(Token)类型,通常用于 OAuth 2.0 协议。名字来源于"持有者"(Bearer)的概念,意思是任何持有该令牌的人都可以使用它来访问受保护的资源。
英
ˈbeərə(r) -- 白若
美
ˈberər
n.
持票人;[建] 承木;[机] 托架;送信人;搬运工人;不记名(债券,股票等)
为什么是 Bearer
简单易用:Bearer Token 是一个简单的字符串,客户端只需要在请求头中携带这个令牌即可,比如:Authorization: Bearer
无状态性:Bearer Token 本身包含了所有必要的信息,服务器不需要存储会话状态,适合分布式系统
广泛支持:OAuth 2.0 是业界标准,Bearer Token 是其推荐的认证方式,因此被广泛采用
灵活性:Bearer Token 可以用于多种场景,比如访问 API、单点登录(SSO)等
需要注意的安全问题
由于 Bearer Token 是"持有者即有权",所以需要特别注意保护它的安全:
使用 HTTPS 加密传输,防止令牌被窃取
设置合理的令牌有效期,减少泄露风险
避免将令牌存储在不安全的地方(比如浏览器的 localStorage)