HTTP规范规定:
10.4.2 401未授权
请求需要用户身份验证。响应必须包含一个WWW-Authenticate头字段(第14.47节),其中包含适用于所请求资源的挑战。
如果我只支持OpenID(或CAS,或OAuth令牌等)作为登录方案,那么我应该在此字段中放什么?也就是说,如何指示客户端需要进行预身份验证并创建会话,而不是尝试随每个请求发送凭据?
在回答“不要发送401;发送3xx重定向到OpenID登录页面”之前,对于非HTML客户端呢?例如,Stack Overflow如何与我的自定义软件交互的API?
10.4.2 401未授权
请求需要用户身份验证。响应必须包含一个WWW-Authenticate头字段(第14.47节),其中包含适用于所请求资源的挑战。
如果我只支持OpenID(或CAS,或OAuth令牌等)作为登录方案,那么我应该在此字段中放什么?也就是说,如何指示客户端需要进行预身份验证并创建会话,而不是尝试随每个请求发送凭据?
在回答“不要发送401;发送3xx重定向到OpenID登录页面”之前,对于非HTML客户端呢?例如,Stack Overflow如何与我的自定义软件交互的API?