В какой момент access token должен добавляться в HTTP-запросы?

Question

Access token добавляется в HTTP-запросы перед их отправкой на сервер. Обычно он передаётся в заголовке Authorization. Токен должен присутствовать только в защищённых запросах. Его добавление должно быть централизованным, а не вручную в каждом вызове API.

YeaHub · Accepted Answer

Access token используется исключительно для авторизации запросов к защищённым ресурсам.Когда именно добавляется access tokenAccess token добавляется:непосредственно перед отправкой HTTP-запросаавтоматически, без участия бизнес-логикиОбычно используется заголовок:Authorization: Bearer <access_token>Какие запросы требуют токенТокен добавляется:к запросам к защищённым APIк пользовательским операциямк запросам, требующим аутентификацииТокен не добавляется:к публичным эндпоинтамк запросам логина и refreshк запросам загрузки статических ресурсовПочему это важноЦентрализованное добавление токена:снижает вероятность ошибокупрощает поддержку кодаисключает утечки токенаВывод:Access token должен добавляться автоматически перед отправкой защищённых HTTP-запросов, без ручного вмешательства разработчика.