Базовая аутентификация #

Васильев Андрей Михайлович, 2025

Версии презентации

• Интерактивная презентация
• Текстовая версия
• Раздел курса

Аутентификация по протоколу HTTP #

Задача аутентификации возникла давно и в рамках стандарта HTTP утверждено несколько способов аутентификации: IANA

• Поддерживаемый способ аутентификации сервер передаёт в HTTP-заголовоке WWW-Authenticate
• Данные на сервер передаются клиентом в заголовке Authorization
• После успешной авторизации пользователя браузер сохраняет данные в своём кеше
  • При каждом следующем запросе они заголовок Authorization отправляется
  • При обработке каждого запроса сервер извлекает данные из заголовка и выполняет авторизацию

Базовая HTTP-аутентификация, RFC7617 #

Особенности базовой аутентификации #

• Клиент передаёт данные на сервер в заголовке Authorization
• Формат данных: basic <data>, где вместо <data> записывается закодированная в формате base64-срока username:password
• Браузер сохраняет введённые данные и передаёт их ко всем последующим запросам серверу через заголовки
• Для сброса введённых данных необходимо перезапустить браузер
• Данные базовой аутентификации передаются в открытом виде и могут быть перехвачены. Необходимо использовать зашифрованное соединение
• Данные базовой аутентификации можно передать в рамках URL-запроса

  https://username:password@example.com/

Имя пользователя и пароль передаются в формате имя:пароль и отделяются от пути символом @

Будьте аккуратны с копированием ссылок — в них могут содержаться конфиденциальные данные