Ich versuche zu wissen, wann der Header Authorization automatisch vom Browser gesendet wird und wann nicht.
Beim Lesen mehrerer Posts und beim Experimentieren habe ich herausgefunden, dass der Browser nur die Zugangsdaten sendet:
Basic authentication und nur dann, wenn der Benutzer den Benutzernamen und das Passwort direkt im Browserfenster eingegeben hat (z. B. wenn sie in einem XMLHttpRequest angegeben wurden). NTLM authentication Ich möchte ein Dokument finden, das angibt, wann der Browser die Kopfzeile automatisch senden soll und darf (so etwas wie ein Spezifikationsdokument). Ich bin besonders interessiert an OAuth und Bearer Authorization Header-Typen.
Normalerweise senden Webbrowser Autorisierungsheader, wenn sie eine 401-Antwort erhalten haben. RFC 7235 "Hypertext Transfer Protocol (HTTP / 1.1): Authentifizierung "sagt:
Das Kopfzeilenfeld "Authorization" erlaubt einem Benutzeragenten sich zu authentifizieren selbst mit einem Ursprungsserver - normalerweise, aber nicht unbedingt, nach Empfangen einer Antwort 401 (nicht autorisiert).
Wenn Sie Spezifikationen für die HTTP-Authentifizierung finden, lesen Sie "HTTP-Authentifizierungsschema (Hypertext Transfer Protocol)" Registry ", die die Liste der Authentifizierungsschemas und der Referenzen enthält.
Tags und Links http authorization browser http-headers