HTTP协议中的 Authorization 请求消息头含有服务器用于验证用户代理身份的凭证,通常会在服务器返回401 Unauthorized 状态码以及WWW-Authenticate 消息头之后在后续请求中发送此消息头。.
| Header type | Request header |
|---|---|
| Forbidden header name | no |
Syntax
Authorization: <type> <credentials>
Directives
- <type>
- 验证类型。 常见的是 "基本验证(Basic)" 。其他类型包括:
- <credentials>
- 如果使用“基本验证”方案,凭证通过如下步骤生成:
- 用冒号将用户名和密码进行拼接(如:aladdin:opensesame)。
- 将第一步生成的结果用 base64 方式编码(YWxhZGRpbjpvcGVuc2VzYW1l)。
注意: Base64编码并不是一种加密方法或者hashing方法!这种方法的安全性与明文发送等同(base64可以逆向解码)。“基本验证”方案需要与HTTPS协议配合使用。
示例
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
请参考 HTTP authentication 来获取在Apache或nginx中使用HTTP基本验证方案加密保护站点的配置示例。
规范
| Specification | Title |
|---|---|
| RFC 7235, section 4.2: Authorization | HTTP/1.1: Authentication |
| RFC 7617 | The 'Basic' HTTP Authentication Scheme |