Статья Интересно Учимся работать с Bearer.

[Emilio_Gaviriya]

Bearer — это схема аутентификации, которая используется в протоколе OAuth 2.0. Она позволяет пользователям безопасно делегировать доступ к своим защищенным ресурсам, таким как файлы или данные, стороннему приложению без необходимости раскрывать свои учетные данные.

Токен Bearer — это строка, которая идентифицирует пользователя и указывает, что пользователь авторизован для доступа к защищенному ресурсу.

Токен Bearer обычно передается в заголовке авторизации запроса HTTP в следующем формате:​

Authorization: Bearer <токен>

Стороннее приложение использует токен Bearer для доступа к защищенным ресурсам от имени пользователя. Сервер проверяет токен Bearer, чтобы убедиться, что пользователь авторизован для доступа к запрошенному ресурсу. Если токен Bearer действителен, сервер предоставляет доступ к ресурсу.

Схема аутентификации Bearer широко используется в различных приложениях, включая веб-API, мобильные приложения и настольные приложения. Она обеспечивает простой и безопасный способ для пользователей делегировать доступ к своим защищенным ресурсам сторонним приложениям.

Как работать с Bearer.​

• Получение токена доступа.

Для получения токена доступа необходимо сделать запрос к серверу авторизации. Этот запрос обычно включает имя пользователя и пароль или другой механизм аутентификации.

• Запрос на получение токена доступа (пример):

POST /oauth/token HTTP/1.1

Host: example.com

Content-Type: application/x-www-form-urlencoded

 

grant_type=password

username=john.doe

password=secret

• Ответ сервера авторизации (пример):

HTTP/1.1 200 OK

Content-Type: application/json

{

  "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyLCJleHAiOjE1MTYyNDI2MjJ9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c",

  "token_type": "bearer",

  "expires_in": 3600

}

• Передача токена в заголовке Authorization.

После получения токена доступа необходимо включать его в заголовок Authorization каждого запроса к защищенному ресурсу.

• Формат заголовка:

Authorization: Bearer <token_доступа>

• Пример запроса с заголовком Authorization:

GET /api/users HTTP/1.1

Host: example.com

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyLCJleHAiOjE1MTYyNDI2MjJ9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

• Проверка токена сервером.

Сервер получает запрос и проверяет токен доступа. Он проверяет, является ли токен действительным, не истек ли его срок действия и имеет ли он доступ к запрашиваемому ресурсу.
Если токен действителен, сервер разрешает клиенту доступ к запрашиваемому ресурсу.

Срок действия токена.
Срок действия токена доступа обычно ограничен. По истечении срока действия токен становится недействительным, и клиент должен получить новый токен.

Лучшие практики.​

• Храните токены доступа в безопасном месте.
• Не передавайте токены доступа в незащищенных каналах.
• Регулярно обновляйте токены доступа.
• Аннулируйте токены доступа, когда они больше не нужны.

Преимущества Bearer:

• Простота: Протокол Bearer прост в реализации и использовании.
• Безопасность: Токен доступа не содержит конфиденциальной информации, такой как имя пользователя и пароль.
• Гибкость: Токены доступа могут иметь разные сроки действия и уровни доступа, что обеспечивает гибкость в управлении авторизацией.

Недостатки Bearer:

• Уязвимость к краже токенов: Если токен доступа будет скомпрометирован, злоумышленник может получить доступ к защищенным ресурсам.
• Отсутствие информации о состоянии: Протокол Bearer не предоставляет информации о состоянии сеанса, что может затруднить отслеживание активности пользователя.