Базовая аутентификация HTTP


Базовая аутентификация HTTP - это простой механизм вызова и ответа, с помощью которого сервер может запросить у клиента информацию для аутентификации (идентификатор пользователя и пароль). Клиент передает информацию об аутентификации серверу в заголовке авторизации. Информация для аутентификации находится в кодировке base-64.

В этом материале кратко описывается базовая аутентификация по протоколу HTTP. Дополнительные сведения см. в RFC 2617, Аутентификация HTTP: Базовая и дайджест-аутентификация доступа, по адресу ietf.org/rfc/rfc2617.txt.

Примечание. Схема базовой аутентификации HTTP может считаться безопасной только в том случае, если соединение между веб-клиентом и сервером защищено. Если соединение небезопасно, схема не обеспечивает достаточной безопасности для предотвращения обнаружения неавторизованными пользователями информации об аутентификации сервера. Если вы считаете, что пароль может быть перехвачен, используйте базовую аутентификацию с шифрованием SSL для защиты идентификатора пользователя и пароля.

Если клиент делает запрос, для которого сервер ожидает информацию об аутентификации, сервер отправляет HTTP-ответ с кодом состояния 401, фразой причины, указывающей на ошибку аутентификации, и заголовком WWW-аутентификации. Большинство веб-клиентов обрабатывают этот ответ, запрашивая у пользователя идентификатор пользователя и пароль.

Формат заголовка WWW-аутентификации для базовой аутентификации HTTP выглядит следующим образом:

WWW-Authenticate: Basic realm="Our Site"
Заголовок WWW-Authenticate содержит атрибут области, который определяет набор ресурсов, к которым будут применяться идентификатор пользователя и пароль. Веб - клиенты отображают эту строку пользователю. Для каждой области может потребоваться различная информация для аутентификации. Веб-клиенты могут хранить информацию об аутентификации для каждой области, чтобы пользователям не нужно было повторно вводить информацию для каждого запроса.

Когда веб-клиент получил идентификатор пользователя и пароль, он повторно отправляет исходный запрос с заголовком авторизации. В качестве альтернативы клиент может отправить заголовок авторизации, когда он делает свой первоначальный запрос, и этот заголовок может быть принят сервером, избегая процесса вызова и ответа.

Формат заголовка авторизации следующий:

Authorization: Basic userid:password
Автор этого материала - я - Пахолков Юрий. Я оказываю услуги по написанию программ на языках Java, C++, C# (а также консультирую по ним) и созданию сайтов. Работаю с сайтами на CMS OpenCart, WordPress, ModX и самописными. Кроме этого, работаю напрямую с JavaScript, PHP, CSS, HTML - то есть могу доработать ваш сайт или помочь с веб-программированием. Пишите сюда.

тегистатьи IT, сети, интернет, концепции интернета, аутентификация




Отправляя сообщение я подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта.




Несколько советов по разработке программ
Урок 16. Интерфейсы Java
Урок 1. Знакомство с XAMPP и Yii2: установка, введение в контроллеры и представления