15

Authorizationヘッダーがブラウザによって自動的に送信される時期とそうでない時期を知りたいと思っています。

いくつかの投稿を読んで実験したところ、ブラウザは資格情報のみを送信することがわかりました。

  • 認証を使用Basicする場合で、ユーザーがユーザー名とパスワードをブラウザー ウィンドウに直接入力した場合のみ (たとえば、それらが XMLHttpRequest で提供された場合ではありません)。
  • NTLM認証を利用する場合

ブラウザーがヘッダーを自動的に送信する必要がある場合と送信しない場合を示すドキュメント (仕様ドキュメントのようなもの) を見つけたいと思います。特にOAuthBearer Authorizationヘッダーの種類に興味があります。

4

1 に答える 1

3

通常、Web ブラウザーは 401 応答を受信すると、Authorization ヘッダーを送信します。RFC 7235「ハイパーテキスト転送プロトコル (HTTP/1.1): 認証」は次のように述べています。

「Authorization」ヘッダー フィールドを使用すると、ユーザー エージェントはオリジン サーバーで自身を認証できます。通常は、401 (Unauthorized) 応答を受信した後、必須ではありません。

HTTP 認証の仕様を探している場合は、認証方式のリストと参考文献を提供する 「Hypertext Transfer Protocol (HTTP) 認証方式レジストリ」を参照してください。

于 2015-10-13T13:23:39.630 に答える