何時發生HTTP身份驗證？其中之一是使用http：// peter：[email protected]？

Question

好像有2 HTTP認證：Basic access authentication和Digest access authentication

所以我覺得在一般情況下，一個用戶試圖訪問一個網址，並在Web服務器返回401未經授權，然後 彈出一個應用程序窗口的瀏覽器，詢問用戶名和密碼，然後在HTTP標頭中設置憑證，然後再次發送HTTP請求。

約 http://peter:mypassword@www.somesite.com

什麼？是不是應該等待401回來，而是提前提供用戶名和密碼？ 一些如何，我想http://peter:mypassword@www.google.com或雅虎，但提琴手內（監測網絡流量），我沒有看到在HTTP請求中的任何憑證信息？

Answer 1

你仍然需要在服務器端發送401。用戶：pass @ host只是避免顯示登錄對話框的一種方便。

如果你仔細想想，這是有道理的，因爲如果你不與包頭解釋使用哪種方法發送401，客戶不知道如何格式化的憑據。

（實際上有任何數量的方案，而不僅僅是基本和摘要。）

Answer 2

對於它的一些理解，還有就是談論HTTP基本身份驗證Railscast並將其添加到Rails項目，以及它如何看起來像在瀏覽器上：http://railscasts.com/episodes/82-http-basic-authentication