Установление подлинности доступа Access Authentication. Для установления подлинности доступа HTTP предоставляет простой механизм вызовов-ответов challenge-response, который может использоваться сервером для вызова challenge клиентского запроса, а клиентом для предоставления опознавательной информации authentication information. Для этого используется расширяемая, не чувствительная к регистру лексема идентификации схемы установления подлинности authentication scheme и список пар атрибут-значение attribute-value, разделенных запятыми.
Пары представляют параметры, необходимые для установления подлинности при использовании этой схемы. auth-scheme token auth-param token quoted-string Сообщение ответа с кодом 401 Несанкционирован, Unauthorized используется первоначальным сервером для вызова challenge установления подлинности authorization агентом пользователя.
Этот ответ должен содержать поле заголовка WWW-Authenticate, содержащее по крайней мере один вызов challenge, применимый к запрошенному ресурсу. challenge auth-scheme 1 SP realm, auth-param realm realm realm-value realm-value quoted-string Атрибут области realm не чувствительный к регистру необходим во всех схемах установления подлинности, которые выдают вызов challenge. Значение аттрибута realm чувствительное к регистру, в комбинации с каноническим корневым URL canonical root URL сервера, к которому обращен запрос, идентифицирует защищенную область protection space. Эти области позволяют разбивать защищенные ресурсы сервера на множество областей, каждая из которых имеет собственную схему установления подлинности и или базу данных авторизации authorization database. Значение realm - это строка, вообще говоря назначенная первоначальным сервером, которая может иметь дополнительную семантику, специфическую для схемы установления подлинности.
Агент пользователя, который хочет доказать свою подлинность серверу, обычно, но не обязательно, может это сделать после получения ответа с кодом состояния 401 или 411, включив поле заголовка Authorization в запрос.
Значение поля Authorization состоит из рекомендаций credentials, которые содержат информацию установления подлинности authentication information агента пользователя для области realm, в которой лежит запрошенный ресурс. credentials basic-credentials auth-scheme auth-param Область domain, над которой рекомендации credentials могут автоматически применяться агентом пользователя, определена областью защиты protection space. Если подлинность была установлена предшествующим запросом, то эти же рекомендации credentials могут использоваться многократно во всех других запросах внутри этой области защиты protection space в течении времени, определенного схемой установления подлинности, параметрами, и или установками пользователя.
Если схемой установления подлинности не определено иного, то одиночная область защиты protection space не может простираться за пределы области сервера the scope of its server. Если сервер не желает принимать рекомендации credentials, посланные в запросе, то ему следует возвратить ответ с кодом 401 Несанкционирован, Unauthorized. Ответ должен включать поле заголовка WWW-Authenticate, содержащее возможно новый вызов challenge, применимый к запрошенному ресурсу, и объект, объясняющий отказ.
Протокол HTTP не ограничивает возможности приложений по установлению подлинности доступа использованием этого простого механизма вызовов-ответов challenge-response . можно использовать дополнительные механизмы, такие как шифрование на транспортном уровне или формирование пакета сообщения message encapsulation с дополнительными полями заголовка, определяющими информацию установления подлинности.
Однако эти дополнительные механизмы не определены данной спецификацией.
Прокси-сервера должны быть полностью прозрачны для установления подлинности агента пользователя. То есть они должны пересылать заголовки WWW-Authenticate и Authorization нетронутыми. HTTP 1.1 позволяет клиенту передавать информацию установления подлинности для и от прокси-сервера посредством заголовков Proxy-Authenticate и Proxy-Authorization. 11.1