[解決済み] HTTPヘッダーのカスタマイズ

質問

クライアントがAPIにリクエストを送信する際に、クライアントを認証する必要があります。クライアントはAPI-tokenを持っており、私は標準の Authorization ヘッダを使用することを考えていました。

通常、このヘッダは Basic と Digest の認証が必要です。しかし、このヘッダの値をカスタマイズして、例えばカスタム認証スキームを使用することが許されるかどうかはわかりません。

Authorization: Token 1af538baa9045a84c0e889f672baf83ff24

これを推奨しますか、しませんか？あるいは、トークンを送信するためのより良いアプローチがありますか？

どのように解決するのですか？

独自のカスタム認証スキーマを作成することができます。 Authorization: ヘッダを使う独自の認証スキーマを作ることができます。 OAuth は動作します。

一般論として、サーバやプロキシが の値 を理解できない場合、サーバーやプロキシはそれらを無視し、そのままにしておきます。それは、独自のヘッダを作成する キー を作成することです。多くのプロキシは、認識できない名前のヘッダを除去します。

とはいえ、トークンを送信するためにクッキーを使用するのは、むしろ Authorization: ヘッダよりもクッキーを使ったほうがいいかもしれません。クッキーはカスタム値を運ぶように明確に設計されているのに対し、HTTP の組み込み認証メソッドの仕様ではどちらとも言えないという単純な理由からです。 をご覧ください。 .

これに関する他のポイントは、多くのHTTPクライアントライブラリはダイジェスト認証とベーシック認証をビルトインでサポートしていますが、ヘッダーフィールドに生の値を設定しようとすると、より困難になるかもしれないということです。