HTTPS と HTTP で利用できるサイト (サードパーティ アプリを実行) があります。これにより、人々は基本認証でログインできます。すべてのログインが HTTP ではなく HTTPS 経由で行われるように強制しようとしています。
このアプリは、認証の「レルム」がドメインのルート (/) であり、URL パスではなくクエリ文字列パラメーターに基づいて 401 が返されるという点で奇妙です。401 になる可能性のある要求が最初に HTTPS にリダイレクトされるように、RewriteRules を適切に設定したと思います。ただし、安全なサイトにログインした後、ユーザーが何らかの方法で HTTP バージョンに戻った場合、ブラウザーは 401 を表示せずに Authorization ヘッダー (暗号化されていない) を送信するのではないかと心配しています。 /構造。つまり、RFC 2617 からのこの動作が心配です。
クライアントは、サーバーから別のチャレンジを受信することなく、そのスペース内のリソースに対する要求とともに、対応する Authorization ヘッダーをプリエンプティブに送信できます。
心配する必要がありますか?それとも、プロトコルの切り替え (https から http へ) によって、ブラウザーがこれらのプリエンプティブ認証ヘッダーを送信できなくなりますか?