15

我想知道Authorization浏览器何时自动发送标头,何时不自动发送。

通过阅读几篇文章和实验,我发现浏览器只发送凭据:

  • 使用Basic身份验证时,并且仅当用户直接在浏览器窗口中输入用户名和密码时(例如,如果它们是在 XMLHttpRequest 中提供的)。
  • 使用NTLM身份验证时

我想找到一个说明浏览器何时应该和不应该自动发送标题的文档(类似于规范文档)。我对标头类型特别OAuth感兴趣Bearer Authorization

4

1 回答 1

3

通常,Web 浏览器在收到 401 响应时会发送 Authorization 标头。RFC 7235“超文本传输​​协议(HTTP/1.1):身份验证”说:

“Authorization”头域允许用户代理通过源服务器验证自己——通常但不一定,在收到 401(未授权)响应后。

如果您正在查找 HTTP 身份验证规范,请参阅提供身份验证方案列表和参考的“超文本传输​​协议 (HTTP) 身份验证方案注册表”

于 2015-10-13T13:23:39.630 回答