【发布时间】:2014-04-19 15:51:38
【问题描述】:
我很难理解用于基本 HTTP 身份验证的 WWW-Authenticate 标头中“领域”值的用途。
This question 询问“领域”值是什么 - 答案似乎很简单。 “领域”有点像命名空间,表示受保护资源的集合。
好的,所以我明白了抽象的概念。但在实践中,尤其是从 HTTP 客户端的角度来看,“领域”实际上有什么帮助?
通过 HTTP 进行身份验证时,基本工作流程似乎是:
(1) 服务器以
WWW-Authenticate的形式发出质询 标题(2) 客户端以
Authorization标头响应,以及 包含用户名和密码的 base64 编码字符串。(3) 客户端现在被授予访问权限(如果凭据错误,则拒绝访问)
那么在哪里客户端应该关心服务器发送的“领域”值?
据我了解,如果客户端想要再次访问受保护的资源,唯一需要做的就是再次发送“授权”标头。那么……再一次,“领域”是如何参与到这一切中的?
为了清楚起见...我从概念上理解什么是“领域”...我只是不明白 HTTP 客户端在实践中是如何使用它的。
【问题讨论】:
标签: security http authentication http-headers authorization