HTTP 身份验证何时发生？其中之一是使用 http://peter:mypassword@www.somesite.com 吗？

Question

似乎有 2 个 HTTP 身份验证： 基本访问身份验证 和 摘要式访问认证

所以我认为一般来说，用户尝试访问一个URL，Web服务器返回401 Unauthorized，然后浏览器返回 弹出一个应用程序窗口，询问用户名和密码，然后在 HTTP 标头中设置凭据，然后再次发送 HTTP 请求。

http://peter:[电子邮件]怎么样;受保护]？那是不是应该不等401回来而是提前提供用户名和密码呢？ 不知怎的，我尝试了 http://peter:[email protected] 或 yahoo，但在 Fiddler 内部（用于监控网络流量），我在 HTTP 请求中没有看到任何凭据信息？

Answer 1

您仍然需要在服务器端发送 401。 user:pass@host 只是为了避免显示登录对话框。

如果您考虑一下，这是有道理的，因为如果您不发送带有解释要使用哪种方法的标头的 401，则客户端不知道如何格式化凭据。

（实际上有很多方案，不仅仅是 Basic 和 Digest。）

Answer 2

为了对其有所了解，有一个 Railscast 讨论了 HTTP 基本身份验证并将其添加到 Rails 项目以及它在浏览器上的外观： http://railscasts.com/episodes/82-http-basic-authentication