鉴权

在 HTTP POST 通信方式中，OneBot 提供了签名来保证安全性，而在 HTTP、正向 WebSocket、反向 WebSocket 通信方式中，通过对 access token 进行验证来保证安全性。

HTTP 和正向 WebSocket

如果配置文件中填写了 access token，则每次客户端向 OneBot 发送请求时需要在请求头中加入 Authorization 头，如：

GET /get_friend_list HTTP/1.1
...
Authorization: Bearer kSLuTF2GC2Q4q4ugm3

Bearer 后面需给出和 OneBot 配置中相同的 access token。

在某些特殊情况下，可能无法修改请求头，则可以通过 query 参数传入 access token，例如：

GET /get_friend_list?access_token=kSLuTF2GC2Q4q4ugm3 HTTP/1.1

如果配置文件中填写了 access token，则每次 OneBot 的反向 WebSocket 客户端在向用户配置的 URL 建立连接的时候，会在请求头中加入 Authorization 头，如：

GET /ws/api HTTP/1.1
...
Authorization: Bearer kSLuTF2GC2Q4q4ugm3