HTTP 仕様は次のように述べています。
HTTP アクセス認証については、「HTTP 認証: 基本およびダイジェスト アクセス認証」[43] で説明されています。リクエストが認証され、レルムが指定されている場合、同じクレデンシャルがこのレルム内の他のすべてのリクエストに対して有効であるべきです (チャレンジ値に応じて変化するクレデンシャルや、同期されたクロックを使用するなど、認証スキーム自体がそれ以外のことを要求しないと仮定します)。 .
これが何を意味するのかよくわかりませんが、これが私のシナリオです。HTTP 仕様に反するものはありますか? Java Rest サービスを使用しています
- クライアントは、 HTTP Basicを使用して HTTP Authorization ヘッダーを使用して username:password を送信します
- サーバーはトークンを送り返します
- 現在、クライアントは、引き続きHTTP 認証ヘッダーにある追加の要求に対して、パスワードの代わりにカスタム認証トークンを送信し、HTTP Basic username:tokenを使用します。
認証トークンで実際に行っていることは、実際の HTTP 基本認証ではないため、これは正しくありません。また、まったく同じヘッダーの使用は、リクエスト間で一貫性がありません。
しかし一方で、トークン交換用に別のカスタム ヘッダーを作成したくありません。カスタム ヘッダーを使用する場合、テスト ツールで base64 エンコードするのは難しいためです。また、リクエスト間のヘッダーにまだ一貫性がありません。
注: これらのリクエストは異なるエンドポイントを参照しています
何をアドバイスしますか?