我想知道Authorization浏览器何时自动发送标头,何时不自动发送。
通过阅读几篇文章和实验,我发现浏览器只发送凭据:
- 使用
Basic身份验证时,并且仅当用户直接在浏览器窗口中输入用户名和密码时(例如,如果它们是在 XMLHttpRequest 中提供的)。 - 使用
NTLM身份验证时
我想找到一个说明浏览器何时应该和不应该自动发送标题的文档(类似于规范文档)。我对标头类型特别OAuth感兴趣Bearer Authorization。
问问题
4035 次
1 回答
3
通常,Web 浏览器在收到 401 响应时会发送 Authorization 标头。RFC 7235“超文本传输协议(HTTP/1.1):身份验证”说:
“Authorization”头域允许用户代理通过源服务器验证自己——通常但不一定,在收到 401(未授权)响应后。
如果您正在查找 HTTP 身份验证规范,请参阅提供身份验证方案列表和参考的“超文本传输协议 (HTTP) 身份验证方案注册表”。
于 2015-10-13T13:23:39.630 回答