[ADP-363] 自定義HTTP授權方案

reviewing phase 1

需要更多參考資料

概述

雖然 Bearer 令牌常用於授權，但API設計者(MAY)可以創建自定義授權方案以滿足特定需求。本規範描述了如何設計和實現自定義授權方案。

指導原則

• 實施者(MUST)必須清楚地記錄自定義方案的格式和使用方法。
• 客戶端(MUST)必須在所有需要認證的請求中包含自定義授權標頭。
• 伺服器(MUST)必須驗證自定義授權標頭，並對無效憑證返回適當的錯誤回應。
• 所有參與方(SHOULD)應只通過安全通道(如HTTPS)傳輸授權資訊。
• 應該(SHOULD)在內部 API 入口網站註冊自訂義授權方案，如同 IANA。

自定義授權方案示例

自定義授權方案可能擴展標準令牌方法:

Authorization: CUSTOM-AUTH <token>

這種方法允許明確識別特定的授權類型。

設計建議

1. 設計者(SHOULD)應選擇清晰、獨特的前綴(例如,"CUSTOM-AUTH")。
2. 方案名稱(MUST NOT)不得與現有標準衝突。

自定義方案與標準方案的比較

雖然自定義方案提供了靈活性，但(SHOULD)應權衡使用標準方案的好處:

1. 互操作性: 標準方案得到現有工具和庫的廣泛支持。
2. 安全性: 成熟的方案已經過廣泛的安全審查。
3. 開發者熟悉度: 標準方案減少了API使用者的學習曲線。

API設計者(SHOULD)應僅在標準選項無法滿足特定需求時使用自定義方案，例如:

• 獨特的識別需求
• 集成專有認證系統
• 特定的合規或監管要求

參考資料

• RFC 9110, 第11.6.2節 - 授權
• IANA HTTP認證方案註冊表