当前位置：文江博客话题详情

如果我只使用 OpenID，我应该为 401 上的 WWW-Authenticate 标头传递什么？

发布于 2024-07-24 05:04:21 字数 409 浏览 4 评论 0原文

HTTP 规范指出：

10.4.2 401 未经授权
该请求需要用户身份验证。响应必须包含 WWW-Authenticate 标头字段（第 14.47 节）包含适用于所请求资源的质询。

如果我支持的唯一登录方案是 OpenID（或 CAS、OAuth 令牌等），我应该在此字段中输入什么？也就是说，我如何指示客户端需要预身份验证并创建会话，而不是尝试随每个请求一起发送凭据？

在您回答“不要发送 401；发送 3xx 重定向到 OpenID 登录页面”之前，对于非 HTML 客户端呢？例如，Stack Overflow 如何提供我的自定义软件可以与之交互的 API？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

蓝眸 2024-07-31 05:04:21

根据 RFC2617 的 auth-scheme可以是任何东西；如果您确实想要 401，那么从技术上讲，您不会通过编写类似 WWW-Authenticate: OpenID Realm="My Realm" location="http://my/login/ 的内容来破坏规范位置”。话虽如此，当你这样做时其他人的代码的行为当然是未定义的。 :-)