Khi nào tiêu đề Cấp phép được trình duyệt tự động gửi?

Question

Tôi đang cố gắng biết khi nào tiêu đề Authorization được trình duyệt tự động gửi đi và khi nào thì không.

Bằng cách đọc một vài bài viết và thử nghiệm, tôi phát hiện ra rằng các trình duyệt chỉ gửi các thông tin:

• Khi sử dụng Basic xác thực, và chỉ khi người dùng nhập vào tên người dùng và mật khẩu trực tiếp trong cửa sổ trình duyệt (không , ví dụ, nếu chúng được cung cấp trong một XMLHttpRequest).
• Khi sử dụng NTLM xác thực

Tôi muốn tìm một tài liệu trong đó nêu khi trình duyệt nên và không nên gửi tiêu đề tự động (một cái gì đó giống như một tài liệu thông số kỹ thuật). Tôi đặc biệt quan tâm đến các loại tiêu đề OAuth và BearerAuthorization.

Answer 1

Thông thường, trình duyệt web gửi tiêu đề Cấp quyền khi nhận được phản hồi 401. RFC 7235 "Hypertext Transfer Protocol (HTTP/1.1): Xác thực " nói:

Các "Authorization" header field cho phép một user agent để xác thực chính nó với một máy chủ gốc - thường, nhưng không nhất thiết, sau khi nhận được phản hồi 401 (Không được phép).

Nếu bạn đang tìm thông số kỹ thuật để xác thực HTTP, hãy xem "Hypertext Transfer Protocol (HTTP) Authentication Scheme Registry" cung cấp danh sách các lược đồ xác thực và tham chiếu.