根据RFC6750,HTTP身份验证方案应该是"Bearer"。但是这个GitHub文档使用了"token"作为方案。我两种都试过了,看来这两种都有效。
我的问题是:
- GitHub使用"token"而不是标准有什么原因吗
- 这个方案是不是只要服务器能理解就可以了
协议(如RFC6750(只是多方同意的通用标准,因此从根本上讲,是的,只要客户端和服务器同意,它可以是任何东西。
OAuth特别有很多扩展——实现者做的事情不太符合规范,或者可能在规范中留下了模糊或开放的内容。刷新令牌的处理是一个经常看到的领域。
至于GitHub,我怀疑他们支持token标头,因为他们允许该标头用于OAuth令牌之外的其他类型的令牌,特别是个人访问令牌和GitHub应用程序令牌。
此外,在您链接的RFC发布之前,可能至少有一些使用(特别是个人访问令牌(在使用。