Types de jetons dautorisation

L’en-tête de requête HTTP peut être utilisé pour fournir des informations d’identification qui authentifient un agent utilisateur auprès d’un serveur, permettant ainsi l’accès aux ressources protégées.

L’en-tête est généralement, mais pas toujours, envoyé après que l’agent utilisateur a tenté pour la première fois de demander une ressource protégée sans informations d’identification. Le serveur répond par un message qui inclut au moins un en-tête. Cet en-tête indique les schémas d’authentification qui peuvent être utilisés pour accéder à la ressource et toute information supplémentaire nécessaire au client pour les utiliser. L’agent utilisateur doit sélectionner le schéma d’authentification le plus sécurisé qu’il prend en charge parmi ceux proposés, demander à l’utilisateur ses informations d’identification, puis demander à nouveau la ressource avec les informations d’identification encodées dans l’en-tête.

Cet en-tête est supprimé des redirections d’origines croisées.

de syntaxe

Le schéma d’authentification qui définit la façon dont les informations d’identification sont encodées. Certains des types les plus courants sont (insensibles à la casse) : , , et .

À l’exception de , les directives restantes sont spécifiques à chaque schéma d’authentification. En règle générale, vous devrez vérifier les spécifications pertinentes pour ceux-ci (les clés d’un petit sous-ensemble de schémas sont répertoriées ci-dessous).

Authentification

de base

Les informations d’identification, encodées selon le schéma spécifié.

Chaîne de chiffres hexadécimaux qui prouve que l’utilisateur connaît un mot de passe. L’algorithme encode le nom d’utilisateur et le mot de passe, realm, cnonce, qop, nc, etc. Il est décrit en détail dans la spécification.

Chaîne entre guillemets contenant le nom de l’utilisateur pour le spécifié en texte brut ou le code de hachage en notation hexadécimale. Si le nom contient des caractères qui ne sont pas autorisés dans le champ, il peut être utilisé à la place (pas « ainsi »).

Nom de l’utilisateur formaté à l’aide d’une notation étendue définie en RFC5987. Cela ne doit être utilisé que si le nom ne peut pas être encodé et si est défini .

L’URI de requête effective . Voir les spécifications pour plus d’informations.

Domaine du nom d’utilisateur/mot de passe demandé (encore une fois, doit correspondre à la valeur de la réponse correspondante pour la ressource demandée).

Valeur de la réponse correspondante pour la ressource demandée.

L’algorithme utilisé pour calculer le Digest. Il doit s’agir d’un algorithme pris en charge à partir de la réponse de la ressource demandée.

Jeton indiquant la qualité de la protection appliquée au message. Doit correspondre à la valeur de l’ensemble spécifiée dans la réponse pour la ressource demandée.

• : Authentification
• : Authentification avec protection

de l’intégrité

Valeur de chaîne ASCII uniquement entre guillemets fournie par le client. Ceci est utilisé à la fois par le client et le serveur pour fournir une authentification mutuelle, fournir une certaine protection de l’intégrité des messages et éviter les « attaques en texte clair choisi ». Voir les spécifications pour plus d’informations.

Nonce compte. Nombre hexadécimal de demandes dans lesquelles le client a envoyé la valeur actuelle (y compris la demande actuelle). Le serveur peut utiliser Dupliquez les valeurs pour reconnaître les demandes de relecture.

Facultatif

si le nom d’utilisateur a été haché. par défaut.

Pour l’authentification, les informations d’identification sont construites en combinant d’abord le nom d’utilisateur et le mot de passe avec deux points (par exemple, ), puis en encodant la chaîne résultante (par exemple, ).

Voir aussi l’authentification HTTP pour des exemples sur la façon de configurer les serveurs Apache ou Nginx pour protéger votre site par mot de passe avec l’authentification HTTP de base.