Eug*_*kov 10 authentication authorization http
让我引用来自 www.w3.org 的HTTP 1.1 RFC 规范。
10.4.2 401未授权
该请求需要用户身份验证。响应必须包含一个 WWW- Authenticate头域(第 14.47 节),其中包含适用于请求资源的质询。客户端可以使用合适的Authorization头域(第 14.8 节)重复请求。
14.8授权
用户代理通常(但不一定)在收到 401 响应后通过在请求中包含授权请求头字段来向服务器进行身份验证。该授权域包含所述用户代理的对被请求的资源的领域中的认证信息的凭据。
为什么要在Authorization标头中传递用于证明用户身份 ( Authentication )的凭据?
你可以这样看。服务器对客户端说“请在访问此资源之前进行身份验证”并发送有关客户端应如何进行身份验证的信息 ( WWW-Authenticate)。客户端负责进行身份验证,然后将该身份验证的证明发送到服务器 ( Authorization)。
该Basic认证方案食堂的东西,因为授权的用户名和密码,也就是你通过认证对服务器本身(显示你知道一个用户名和密码)授权。
然而,其他方案允许客户端与第三方进行身份验证,并且只向服务器发送身份验证证明。服务器可以验证授权,但可能不知道客户端是谁(尽管它通常知道)。
注意这只是一种合理化。我的意思并不是说这是所选名称背后的动机。
| 归档时间: |
|
| 查看次数: |
2885 次 |
| 最近记录: |