http-headers - 認証が必要なサイトは、常に WWW-Authenticate HTTP 応答ヘッダーを送信する必要がありますか?

Question

最近、常に認証が必要なサイト（AEM オーサーサーバー）にアクセスしようとしました。次のように、ブラウザーのアドレスバーの URL で基本認証を使用しようとしていました: http://admin:admin@localhost:4502/

しかし、それを試してみると、次のセキュリティ確認が得られました (Firefox 38.0.1 で):

「はい」をクリックすると、認証されていないログインページに移動し、送信した基本的な認証資格情報を無視しているように見えました。次の質問 (およびそれに関するコメント) は、AEM オーサー サーバーが認証資格情報を要求していないためであることがわかりました。つまり、WWW-Authenticate HTTP 応答ヘッダーを送信していないためです。

• http://user:pass@host.com 認証はどのように機能しますか?
• 資格情報が URL で提供されている場合、ブラウザが認証ヘッダーを送信しないのはなぜですか?

したがって、ブラウザーは、アドレス バーに入力した基本的な認証資格情報を実際には送信しませんでした。

そのため、常に認証を必要とする AEM オーサー サーバーが HTTP WWW-Authenticate ヘッダーを送信しない理由を疑問に思いました。しかし、それはより大きな疑問を投げかけます:

常に認証を必要とするサイトの場合、そのサイトが常にWWW-Authenticate 応答ヘッダーを送信することを期待するのは合理的ですか? または、認証が実際に必要であるにもかかわらず、このヘッダーを含めない正当な理由はありますか?

Answer 1

アプリケーションが実装して必要とする認証には、さまざまな種類があります。AEM は基本認証を必要としません ( aem felix consoleを除く)。サポートされていない、必要でない、または現在構成されていない認証方法で直接ログインすることは期待できません。そのため、ブラウザは、このページには認証が必要ないことを通知します。AEM は、ユーザー名とパスワードを含むフォームを含む html ページを使用し、認証要求がバックエンドに送信され、そこで sling がさらに処理します。このトピックの詳細については、cq の基本またはsling 認証のドキュメントを参照してください。