Xác thực cơ bản HTTP - trải nghiệm trình duyệt web mong đợi là gì?

Khi một máy chủ cho phép truy cập thông qua Xác thực HTTP cơ bản, trải nghiệm dự kiến ​​sẽ có trong trình duyệt web là gì?

Bỏ qua trình duyệt web một lát, đây là cách tạo yêu cầu Xác thực cơ bản với curl:

curl -u myusername:mypassword http://somesite.com

Nhưng những gì về một trình duyệt web? Những gì tôi đã thấy trên một số trang web, là tôi truy cập URL và sau đó máy chủ trả về mã phản hồi 401. Trình duyệt sau đó sẽ hiển thị lời nhắc tên người dùng / mật khẩu.

Tuy nhiên, trên somesite.com, tôi hoàn toàn không nhận được lời nhắc ủy quyền, chỉ là một trang nói rằng tôi không được ủy quyền. Có phải somesite đã không thực hiện đúng quy trình công việc Auth cơ bản, hoặc tôi còn cần phải làm gì nữa không?

Để giúp mọi người tránh nhầm lẫn, tôi sẽ cải tổ câu hỏi thành hai phần.

Đầu tiên: "làm thế nào để thực hiện yêu cầu HTTP được xác thực bằng trình duyệt, sử dụng BASIC auth?" .

Trong trình duyệt, trước tiên bạn có thể thực hiện http cơ bản bằng cách đợi lời nhắc đến hoặc bằng cách chỉnh sửa URL nếu bạn làm theo định dạng này: http://myusername:mypassword@somesite.com

NB: lệnh curl được đề cập trong câu hỏi là hoàn toàn tốt, nếu bạn đã cài đặt một dòng lệnh và curl. ;)

Người giới thiệu:

• https://en.wikipedia.org/wiki/Basic_access_authentication#URL_encoding
• https://en.wikipedia.org/wiki/Uniform_Resource_Locator#Syntax
• https://tools.ietf.org/html/rfc3986#page-18

Cũng theo trang hướng dẫn CURL https://curl.haxx.se/docs/manual.html

HTTP

  Curl also supports user and password in HTTP URLs, thus you can pick a file
  like:

      curl http://name:passwd@machine.domain/full/path/to/file

  or specify user and password separately like in

      curl -u name:passwd http://machine.domain/full/path/to/file

  HTTP offers many different methods of authentication and curl supports
  several: Basic, Digest, NTLM and Negotiate (SPNEGO). Without telling which
  method to use, curl defaults to Basic. You can also ask curl to pick the
  most secure ones out of the ones that the server accepts for the given URL,
  by using --anyauth.

  NOTE! According to the URL specification, HTTP URLs can not contain a user
  and password, so that style will not work when using curl via a proxy, even
  though curl allows it at other times. When using a proxy, you _must_ use
  the -u style for user and password.

Câu hỏi thứ hai và thực sự là "Tuy nhiên, trên somesite.com, tôi hoàn toàn không nhận được lời nhắc ủy quyền, chỉ là một trang nói rằng tôi không được ủy quyền. tôi cần phải làm gì nữa? "

Tài liệu curl cho biết -utùy chọn hỗ trợ nhiều phương thức xác thực, Basic là mặc định.

Bạn đã thử chưa

curl somesite.com --user username:password

Bạn có thể có tên người dùng / mật khẩu không hợp lệ cũ được lưu trong trình duyệt của bạn. Hãy thử xóa chúng và kiểm tra lại.

Nếu bạn đang sử dụng IE và somesite.com nằm trong vùng bảo mật Intranet của bạn, IE có thể tự động gửi thông tin đăng nhập windows của bạn.

WWW-Xác thực tiêu đề

Bạn cũng có thể nhận được điều này nếu máy chủ đang gửi mã phản hồi 401 nhưng không đặt tiêu đề WWW-xác thực chính xác - Tôi nên biết, tôi đã sửa lỗi đó bằng mã riêng vì các ứng dụng VB không bật lên lời nhắc xác thực.

Nếu không có thông tin đăng nhập được cung cấp trong các tiêu đề yêu cầu, thì đây là phản hồi tối thiểu cần thiết cho IE để nhắc người dùng về thông tin đăng nhập và gửi lại yêu cầu.

Response.Clear();
Response.StatusCode = (Int32)HttpStatusCode.Unauthorized;
Response.AddHeader("WWW-Authenticate", "Basic");

Bạn có thể sử dụng Postman một plugin cho chrome. Nó cung cấp khả năng chọn loại xác thực bạn cần cho mỗi yêu cầu. Trong menu đó, bạn có thể cấu hình người dùng và mật khẩu. Người đưa thư sẽ tự động dịch cấu hình sang tiêu đề xác thực sẽ được gửi cùng với yêu cầu của bạn.