瀏覽器何時自動發送授權標頭？

Question

我想知道什麼時候是由瀏覽器自動發送的Authorization頭和什麼時候沒有。

通過閱讀一些文章和試驗，我發現瀏覽器只發送憑據：

• 當使用Basic認證，並且僅當用戶輸入直接在瀏覽器窗口中的用戶名和密碼（不例如，如果它們是在XMLHttpRequest中提供的）。
• 當使用NTLM認證

我想找到其中規定時，瀏覽器應該和不應該自動發送的報頭（類似於一個規範文件）的文件。我特別感興趣的是OAuth和BearerAuthorization頭部類型。

Answer 1

通常，Web瀏覽器在收到401響應時會發送授權標頭。 RFC 7235「超文本傳輸​​協議（HTTP/1.1）：認證 」雲：

「授權」頭域允許用戶代理與源服務器進行認證 本身 - 通常，但不是必須地，後 收到401（未授權）響應。

如果您正在查找HTTP驗證的規格，請參閱"Hypertext Transfer Protocol (HTTP) Authentication Scheme Registry"，其中提供驗證方案和參考的列表。