Bearer Token 是一种用于 身份认证 的访问令牌,在 Web API 中被广泛使用。
服务器发给你一个 token,之后你每次请求 API,只要在请求头里带上这个 token,服务器就认为你“已经登录”,可以访问需要身份验证的资源。
假设你有一个 token:
eyJhbGciOiJIUzI1NiIsInR5cCI6…
你请求某个 API 时,请求头应带上:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6…
✅ Bearer 是一种标准前缀,后面跟着你的 token。
Bearer Token 的工作流程(比如登录流程)
-
👤 用户登录,提交用户名和密码。
-
✅ 服务器验证成功,生成一个 Bearer Token(通常是 JWT)。
-
🪪 客户端保存这个 Token。
-
📡 后续请求都在请求头加上:Authorization: Bearer <your_token>
- 🔐 服务器通过解析 Token 来确认你的身份。
为什么使用 Bearer Token?
-
无需每次都提交用户名/密码
-
Token 可以设置过期时间
-
可以支持无状态认证(Stateless)
-
Token 可包含用户信息(如 JWT)
安全注意
Token 相当于钥匙,任何人拿到就能访问接口,所以要:
- 使用 HTTPS 传输
- 设置合理的过期时间
- 避免存储在不安全位置(如 localStorage)
- 避免 Token 泄漏
Bearer 是什么含义?
Bearer 是 OAuth2 标准中规定的令牌类型,表示“持有者(Bearer)拥有访问权”,意思是——
谁拿着这个 token,谁就能访问资源,服务端不会再额外检查持有者的身份。