我想知道Authorization
浏览器何时自动发送标头,何时不自动发送。
通过阅读几篇文章和实验,我发现浏览器只发送凭据:
- 使用
Basic
身份验证时,并且仅当用户直接在浏览器窗口中输入用户名和密码时(例如,如果它们是在 XMLHttpRequest 中提供的)。 - 使用
NTLM
身份验证时
我想找到一个说明浏览器何时应该和不应该自动发送标题的文档(类似于规范文档)。我对标头类型特别OAuth
感兴趣Bearer
Authorization
。
我想知道Authorization
浏览器何时自动发送标头,何时不自动发送。
通过阅读几篇文章和实验,我发现浏览器只发送凭据:
Basic
身份验证时,并且仅当用户直接在浏览器窗口中输入用户名和密码时(例如,如果它们是在 XMLHttpRequest 中提供的)。NTLM
身份验证时我想找到一个说明浏览器何时应该和不应该自动发送标题的文档(类似于规范文档)。我对标头类型特别OAuth
感兴趣Bearer
Authorization
。
通常,Web 浏览器在收到 401 响应时会发送 Authorization 标头。RFC 7235“超文本传输协议(HTTP/1.1):身份验证”说:
“Authorization”头域允许用户代理通过源服务器验证自己——通常但不一定,在收到 401(未授权)响应后。
如果您正在查找 HTTP 身份验证规范,请参阅提供身份验证方案列表和参考的“超文本传输协议 (HTTP) 身份验证方案注册表”。