Solucionado
No curso, enviamos o token e seu tipo (Bearer) no body da resposta para que o cliente possa enviar "tipo + token" no header de authorization.
O servidor nesse caso não poderia omitir o tipo de token, para que o cliente não saiba o seu tipo, tirando essa informação do token inclusive (que pode ser interceptado).
Qual a vantagem real desta prática ?
Aproveitando, é pratica comum que o token seja enviado para o cliente atravé do body? Vejo em alguns casos que ele já é enviado no header.
Oi João
É mais comum ver em aplicações o token sendo enviado via header. Com relação a retornar o tipo do token no response depende muito da API e dos requisitos, nesse caso acredito que tenha sido mais a fins didáticos mesmo.
Oi João,
Sobre o tipo do token, isso faz parte da especificação: https://developer.mozilla.org/en-US/docs/Web/HTTP/Authentication
É necessário, pois existem vários tipos de autenticação: Basic, Bearer, dentre outros.
Bons estudos!
Sendo um pouco mais descritivo na minha dúvida, o servidor não poderia assumir que o token que ele recebe é Bearer ? Pois não entendi dar ao cliente o trabalho de concatenar os dados.
Assumir no servidor traria algum problema de escalabilidade, padronização, etc ?