Kiedy nagłówek Authorization jest automatycznie wysyłany przez przeglądarkę?

Question

Próbuję wiedzieć, kiedy nagłówek Authorization jest wysyłany automatycznie przez przeglądarkę, a kiedy nie.

Czytając kilka postów i eksperymentowanie, okazało się, że przeglądarka wysyła jedynie poświadczenia:

• Przy użyciu uwierzytelniania Basic i tylko wtedy, gdy na wejściu użytkownika nazwę użytkownika i hasło bezpośrednio w oknie przeglądarki (nie na przykład, jeśli zostały dostarczone w XMLHttpRequest).
• Przy użyciu uwierzytelniania NTLM

chciałbym znaleźć dokument, który stwierdza, gdy przeglądarka ma i nie powinien wysyłać nagłówek automatycznie (coś podobnego dokumentu specyfikacją). Szczególnie interesują mnie typy nagłówków OAuth i BearerAuthorization.

Answer 1

Zazwyczaj przeglądarki internetowe wysyłają nagłówek autoryzacji po otrzymaniu odpowiedzi 401. RFC 7235 "Hypertext Transfer Protocol (HTTP/1.1): Uwierzytelnianie " mówi:

"Autoryzacja" pole nagłówka pozwala agent użytkownika w celu uwierzytelnienia się z serwerem pochodzenia - zazwyczaj, ale niekoniecznie, po otrzymywanie odpowiedzi 401 (bez upoważnienia).

Jeśli znajdziesz specyfikację do uwierzytelniania HTTP, zobacz "Hypertext Transfer Protocol (HTTP) Authentication Scheme Registry", która zawiera listę schematów uwierzytelniania i odniesienia.