我正在尝试了解浏览器何时自动发送Authorization头部信息以及何时不会。
通过阅读多篇文章和实验,我发现浏览器仅在以下情况下发送凭据:
- 使用基本身份验证,并且仅当用户直接在浏览器窗口中输入用户名和密码时(例如,如果它们是在XMLHttpRequest中提供的,则不会发送)。
- 使用NTLM身份验证
我想找到一份文档,说明浏览器何时应该自动发送头部信息,何时不应该发送(类似于规范文件)。我特别关注OAuth和Bearer Authorization头部类型。
浏览器何时自动发送授权头部(Authorization header)?
15
- gimix
1个回答
3
通常情况下,当网络浏览器收到401响应时,会发送Authorization头。RFC 7235 "超文本传输协议(HTTP / 1.1):身份验证" 表示:
“Authorization”头字段允许用户代理与源服务器进行身份验证 - 通常是在接收到401(未经授权)响应之后,但不一定如此。
如果您正在寻找HTTP身份验证规范,请参阅"超文本传输协议(HTTP)身份验证方案注册表",该注册表提供了身份验证方案和参考列表。
“Authorization”头字段允许用户代理与源服务器进行身份验证 - 通常是在接收到401(未经授权)响应之后,但不一定如此。
如果您正在寻找HTTP身份验证规范,请参阅"超文本传输协议(HTTP)身份验证方案注册表",该注册表提供了身份验证方案和参考列表。
- npcode
1
1我的问题是关于“通常但不一定”的部分。我想找到一份说明文件,说明何时使用该部分。看起来这取决于身份验证方案。 - gimix
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 9 使用WCF的Http请求中缺少授权头(Authorization Header)
- 3 如何在QT中从HTTP请求中删除授权头(Authorization header)
- 4 Access-Control-Max-Age与Authorization头部不兼容
- 29 Ruby on Rails中的授权头部使用HTTP_AUTHORIZATION而不是Authorization键来访问?
- 85 自定义 Authorization HTTP 头部
- 7 如何根据用户名和密码计算基本授权头部(Basic Authorization header)
- 51 HTTP规范:Proxy-Authorization和Authorization头部
- 4 Angular 5 HttpInterceptor和在头部发送授权令牌
- 5 没有浏览器在头部发送授权信息。
- 59 HTTP POST - 如何发送 Authorization 头部?