http: // user: [email protected] प्रमाणीकरण कैसे काम करता है?

Question

क्या कोई बता सकता है कि http://user:pass@host.com प्रमाणीकरण कैसे काम करता है? क्या ब्राउजर Authorization हेडर user:pass बेस -64 एन्कोडेड के साथ भेजता है?

मैंने क्रोम डेवलपर टूल में नेट कंसोल खोला और जब मैं http://user:pass@stackoverflow.com जैसे अनुरोध करता हूं तो मुझे Authorization हेडर जोड़ा नहीं जाता है।

मैं वास्तव में उत्सुक हूं कि अगर मैं यूआरएल के सामने user:pass@ का उपयोग करता हूं तो ब्राउजर पासवर्ड कैसे भेजता है।

Answer 1

हेडर का निरीक्षण करने के लिए, आपको उस सर्वर के विरुद्ध परीक्षण करने की आवश्यकता है जिसके लिए प्रमाणीकरण की आवश्यकता है। ग्राहक तब तक Authorization हेडर नहीं भेजेगा जब तक कि सर्वर इसके लिए नहीं पूछता क्योंकि क्लाइंट को यह नहीं पता होगा कि सर्वर को प्रमाणीकरण विधि (मूल या पाचन) की आवश्यकता है।

---

HTTP प्रमाणीकरण दो अनुरोध में किया जाता है:

पहले, किसी भी Authorization हेडर के बिना एक अनुरोध भेजा है। सर्वर तब WWW-Authenticate के साथ प्रतिक्रिया देता है जो क्लाइंट को प्रमाणीकृत करने के बारे में बताता है। इसमें एक वास्तविक नाम और प्रमाणीकरण विधि शामिल है (फिर से, यह या तो मूल या पाचन है)

क्लाइंट अतिरिक्त Authorization शीर्षलेख के साथ एक नया अनुरोध भेजता है। basic authentication के मामले में, इस हेडर, बस user:pass इनकोडिंग base64 है बस के रूप में आप कह रहे हैं:

Authorization: Basic dXNlcjpwYXNz 

अब पासवर्ड जब तक आप https का उपयोग कर रहे हैं, पारगमन में दिख रहा है। एक बेहतर विकल्प digest authentication है, जहां WWW-Authenticate और Authorization दोनों की सामग्री wikipedia article द्वारा सर्वोत्तम रूप से समझाया गया है। :)