Authorization
优质
小牛编辑
128浏览
2023-12-01
HTTP Authorization
请求标头包含用于向服务器认证用户代理的凭证,通常在服务器响应401
Unauthorized
状态和WWW-Authenticate
标题后。
Header type | Request header |
---|---|
Forbidden header name | no |
语法
Authorization: <type> <credentials>
指令
<type> 认证类型。常见的类型是“基本”。其他类型:
- IANA 认证计划注册表
- AWS 服务器身份验证(
AWS4-HMAC-SHA256
)
<credentials> 如果使用“Basic”身份验证方案,则凭证的构造方式如下所示:
- 用户名和密码与冒号(
aladdin:opensesame
)组合在一起。
- 生成的字符串是 base64 编码的(
YWxhZGRpbjpvcGVuc2VzYW1l
)。
注意:Base64 编码并不意味着加密或哈希!此方法与以明文形式发送凭据同样安全( base64 是可逆编码)。倾向于将 HTTPS 与基本认证结合使用。
例子
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
有关如何配置 Apache 或 nginx 服务器以使用 HTTP 基本身份验证为您的站点密码保护的示例,另请参阅 HTTP 身份验证。
规范
Specification | Title |
---|---|
RFC 7235, section 4.2: Authorization | HTTP/1.1: Authentication |
RFC 7617 | The 'Basic' HTTP Authentication Scheme |