【发布时间】:2015-08-12 19:20:49
【问题描述】:
我最近尝试访问始终需要身份验证的站点(AEM 作者服务器)。我试图在浏览器地址栏中的 URL 中使用基本身份验证,如下所示: http://admin:admin@localhost:4502/
但是当我尝试这样做时,我得到了以下安全确认(在 Firefox 38.0.1 中):
单击“是”将我带到未经身份验证的登录页面,似乎忽略了我发送的基本身份验证凭据。以下问题(及其评论)帮助我理解这是因为 AEM 作者服务器没有要求身份验证凭据——它没有发送 WWW-Authenticate HTTP 响应标头:
- How does http://user:pass@host.com authentication work?
- Why do browsers not send the Authentication header when the credentials are provided in the URL?
因此,浏览器实际上并没有发送我在地址栏中输入的基本身份验证凭据。
这让我质疑为什么总是需要身份验证的 AEM 作者服务器不发送 HTTP WWW-Authenticate 标头。但这引出了一个更大的问题:
对于一个总是需要身份验证的站点,期望该站点总是发送 WWW-Authenticate 响应标头是否合理,或者是否有正当理由不包含此标头,即使确实需要身份验证?
【问题讨论】:
标签: http-headers aem basic-authentication www-authenticate