一種令牌類型。Oauth2.0的官網有說明(OAuth 2.0 Bearer Token Usage)
Bearer Type Access Token:
BEARER類型的token是在RFC6750中定義的一種token類型,OAuth2.0協議RFC6749對其也有所提及,算是對RFC6749的一個補充。BEARER類型token是建立在HTTP/1.1版本之上的token類型,需要TLS(Transport Layer Security)提供安全支持,該協議主要規定了BEARER類型token的客戶端請求和服務端驗證的具體細節。
MAC Type Access Token:
前面介紹了BEARER類型的token,RFC6750明確說明該類型token需要TLS(Transport Layer Security)提供安全支持。雖然現今大部分站點都已經或正在由HTTP向HTTPS遷移,但是仍然會有站點繼續在使用HTTP,在這類站點中BEARER類型的token存在安全隱患,這個時候MAC類型的token正是用武之地,MAC類型的token設計的主要目的就是爲了應對不可靠的網絡環境。
MAC類型相對於BEARER類型對於用戶資源請求的區別在於,BEARER類型只需要攜帶授權服務器下發的token即可,而對於MAC類型來說,除了攜帶授權服務器下發的token,客戶端還要攜帶時間戳,nonce,以及在客戶端計算得到的mac值等信息,並通過這些額外的信息來保證傳輸的可靠性。
其實很多API服務並沒有使用https加密連接(卻使用了BEARER類型的token),e799bee5baa6e79fa5e98193e59b9ee7ad9431333431366362所以你可以利用一些抓包工具進行抓包分析,可以看到一些應用請求附帶的token,你拿這個token也可以訪問相應的第三方api,可能有的token時效比較短,用不了多久就會過期。