Правильно ли любой токен отправлять по Authorization header?

Question

[Ibishka]

Т.е Auhtorization header предназначен не только для токен авторизации а любому???

Answer 1

[DevMan]

любой токен - это любой токен.
любой хидер - это любой хидер.
вопрос: при чем здесь авторизация?

Comments

[Ibishka]

DevMan header['Authorization'] = 'Bearer ' + token. Вот по этому header можно отправить любой токен т.е даже не предназначенный для авторизации а например reset токен?

[DevMan]

Ibishka, да.
можно отправить совершенно любой токен.
валидация - это ваша забота, хидер тут не роялит.

[DevMan]

Ibishka, я могу отправить вам хидер с именем fuck_you и значением drop table users. как вы его обработаете - сугубо ваш менингит.

[Ibishka]

DevMan, нет речь именно про Authorization header не про любой. В любом понятно а именно в Authorization можно отправить любой по значению токен !?

[DevMan]

Ibishka, конечно.