Làm cách nào để http: // user: [email protected] xác thực?

Question

Bất cứ ai có thể giải thích cách hoạt động của xác thực http://user:pass@host.com? Trình duyệt có gửi tiêu đề Authorization với user:pass được mã hóa base-64 không?

Tôi đã mở bảng điều khiển Net trong công cụ dành cho nhà phát triển Chrome và khi tôi yêu cầu như http://user:pass@stackoverflow.com Tôi không thấy tiêu đề Authorization được thêm vào.

Tôi thực sự tò mò về cách trình duyệt gửi mật khẩu trong trường hợp tôi sử dụng user:pass@ ở phía trước URL.

Answer 1

Để kiểm tra tiêu đề, bạn cần kiểm tra đối với máy chủ yêu cầu xác thực. Khách hàng sẽ không gửi bất kỳ tiêu đề Authorization nào cho đến khi máy chủ yêu cầu vì máy khách sẽ không biết phương thức xác thực mà máy chủ yêu cầu (cơ bản hoặc thông báo).

---

xác thực HTTP được thực hiện trong hai yêu cầu:

Đầu tiên, một yêu cầu mà không cần bất kỳ Authorization tiêu đề được gửi đi. Máy chủ sau đó sẽ phản hồi bằng số WWW-Authenticate thông báo cho khách hàng cách xác thực. Điều này bao gồm tên miền và phương thức xác thực (một lần nữa, đây là cơ bản hoặc thông báo)

Sau đó, khách hàng sẽ gửi yêu cầu mới với tiêu đề bổ sung Authorization. Trong trường hợp của basic authentication, tiêu đề này chỉ là user:pass mã hóa base64, cũng giống như bạn đang nói:

Authorization: Basic dXNlcjpwYXNz 

Bây giờ mật khẩu là có thể nhìn thấy trên đường vận chuyển, trừ khi bạn đang sử dụng https. Một lựa chọn tốt hơn là digest authentication, trong đó nội dung của cả hai số WWW-Authenticate và Authorization được giải thích rõ nhất theo số wikipedia article. :)