基本的HTTP和承载令牌认证

我目前正在开发针对开发环境受HTTP-Basic保护的REST-API。由于真正的身份验证是通过令牌完成的，因此我仍在尝试弄清楚如何发送两个授权标头。

我已经尝试过这个了：

curl -i http://dev.myapp.com/api/users \
  -H "Authorization: Basic Ym9zY236Ym9zY28=" \
  -H "Authorization: Bearer mytoken123"

例如，我可以为我的IP禁用HTTP身份验证，但是由于我通常在具有动态IP的不同环境中工作，所以这不是一个好的解决方案。那我错过了什么吗？

尝试使用此方法将基本身份验证推送到url：

curl -i http://username:password@dev.myapp.com/api/users -H "Authorization: Bearer mytoken123"
               ^^^^^^^^^^^^^^^^^^

如果以上方法不起作用，则与它无关。因此，请尝试以下替代方法。

您可以使用其他名称传递令牌。因为您正在处理来自应用程序的授权。因此，您可以轻松地将此灵活性用于此特殊目的。

curl -i http://dev.myapp.com/api/users \
  -H "Authorization: Basic Ym9zY236Ym9zY28=" \
  -H "Application-Authorization: mytoken123"

请注意，我已将标头更改为Application-Authorization。因此，从您的应用程序中捕获该标头下的令牌并处理您需要执行的操作。

你可以做的另一件事是，传递token通过POST参数和抓住从服务器端的参数值。例如，传递带有curl post参数的令牌：

-d "auth-token=mytoken123"

标准（https://tools.ietf.org/html/rfc6750）表示您可以使用：

• 表单编码的正文参数：授权：Bearer mytoken123
• URI查询参数：access_token = mytoken123

因此可以通过URI传递许多承载令牌，但是不建议这样做（请参阅标准的第5节）。

如果在两者之间使用反向代理（例如nginx），则可以定义自定义标记，例如X-API-Token。

在nginx中，您可以将其重写为上游代理（您的其余api）仅是auth：

proxy_set_header Authorization $http_x_api_token;

...而nginx可以使用原始的Authorization标头来检查HTTP AUth。

我有一个类似的问题-验证设备和设备上的用户。我在Cookie标题旁边使用了Authorization: Bearer...标题。

卷曲--anyauth

告诉curl自己找出认证方法，并使用远程站点声称支持的最安全的一种。首先执行请求并检查响应标头，从而可能导致额外的网络往返。使用此方法代替设置特定的身份验证方法，可以使用--basic，--digest，--ntlm和--negotiate进行设置。

还有另一种用于在开发服务器上测试API的解决方案。

• HTTP Basic Authentication仅针对网络路线设置
• 保留所有API路由免于身份验证

为Web服务器配置nginx和Laravel会是这样的：

    location /api {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location / {
        try_files $uri $uri/ /index.php?$query_string;

        auth_basic "Enter password";
        auth_basic_user_file /path/to/.htpasswd;
    }

Authorization: Bearer 将负责保护开发服务器免受Web爬虫和其他有害访问者的侵害。

使用nginx，您可以像这样发送两个令牌（即使它违反标准）：

Authorization: Basic basic-token,Bearer bearer-token

只要基本令牌是第一个，它就可以工作-nginx成功将其转发到应用程序服务器。

然后，您需要确保您的应用程序可以从上述字符串中正确提取承载。