基本认证与承载认证

基本身份验证和摘要身份验证模式专门用于使用用户名和机密的身份验证(请参见 RFC7616和 RFC7617)。

Bearer 身份验证方案专门用于使用令牌的身份验证，由 RFC6750描述。即使这个方案来自 OAuth2规范，您仍然可以在客户机和服务器之间交换令牌的任何其他上下文中使用它。

关于 JWT 身份验证，由于它是一种令牌，最好的选择是承载者身份验证方案。 尽管如此，没有什么能够阻止您使用适合您需求的自定义方案。

基本身份验证 以用户 ID/密码对的形式传输凭据，使用 base64编码。客户端发送 HTTP 请求，其 Authorization头包含单词 Basic单词后跟一个空格和一个 base64-encoded字符串 username: password。

授权: 基本 ZGVtbzpwQDU1dzByZA = =

注意: 对于基本身份验证，由于用户 ID 和密码以明文形式在网络上传递(它是 base64编码的，但 base64是可逆编码) ，因此基本身份验证方案不安全。 HTTPS/TLS 应与基本认证结合使用。

承载者身份验证 (也称为 令牌认证)具有称为承载者令牌的安全令牌。“承载者身份验证”的名称可以理解为“ 授予此令牌持有者访问权限”持有者令牌是一个神秘的字符串，通常由服务器响应登录请求而生成。当向受保护的资源发出请求时，客户端必须在 Authorization 头中发送此令牌:

授权: 持有者 < 令牌 >

注: 类似于基本认证，承载认证 只能通过 HTTPS (SSL)使用。

有关更多信息，请参阅 连结1，连结2