ref="/tag/83/" style="color:#EB6E00;font-weight:bold;">HTTP请求中Authorization字段的作用
在调用很多Web API时,服务器需要确认你的身份,这时候就得在HTTP请求里加上Authorization头。这个字段就像进小区要刷门禁卡一样,告诉服务器你有没有权限访问资源。
常见的使用场景比如调用微信公众号接口、访问GitHub的API、或者登录后的网页请求后台数据,都会看到这个字段的身影。
常见的Authorization类型
最常见的是Bearer Token,也就是“承载令牌”。只要拿到一串Token,把它放在请求头里就能通过验证。
格式是这样的:Authorization: Bearer your_token_here。注意Bearer后面有个空格,再跟上你的Token。
用代码示例演示如何添加
如果你在前端用JavaScript的fetch发请求,可以这样写:
fetch('https://api.example.com/data', {
method: 'GET',
headers: {
'Authorization': 'Bearer abc123xyz'
}
})
.then(response => response.json())
.then(data => console.log(data));在Node.js环境里用axios也是类似:
const axios = require('axios');
axios.get('https://api.example.com/profile', {
headers: {
'Authorization': 'Bearer your_token'
}
})
.then(res => console.log(res.data));Postman里怎么设置
如果你用Postman测试接口,在Headers标签页添加一条记录:Key填Authorization,Value填Bearer后面接你的Token。比如:Bearer eyJhbGciOiJIUzI1NiIs。别忘了Bearer和Token之间有空格。
其他认证方式简要说明
除了Bearer,还有Basic认证,它是把用户名和密码拼成“username:password”再进行Base64编码。格式是:Authorization: Basic base64_encoded_string。这种方式安全性较低,一般用于内部系统或测试环境。
比如用户名是admin,密码是123456,拼起来是“admin:123456”,Base64编码后变成“YWxhZGRpbjpvcGVuc2VzYW1l”,最终头信息就是:
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l实际开发中的小细节
有时候后端返回401错误,可能不是Token错了,而是你漏了Bearer这个词,或者大小写写成了bearer。虽然HTTP不区分大小写,但很多框架默认要求首字母大写。
另外,从登录接口拿到Token后,记得妥善保存,别直接写死在代码里,尤其是前端项目,容易泄露。
移动端或桌面应用中,可以用本地存储安全地保存Token,并在每次请求时动态注入到Authorization头中,这样用户不用反复登录。