La richiesta header HTTP Authorization
contiene le credenziali per autenticare un utente con il server, solitamente dopo che il server ha risposto con 401
Unauthorized
status e con un header WWW-Authenticate
.
Tipo Header | richiesta header |
---|---|
Header name proibito | no |
Sintassi
Authorization: <tipo> <credenziali>
Direttive
- <tipo>
- Tipo di autenticazione. Un tipo comune è "Basic". Altri tipi sono:
- <credenziali>
- Se viene usato il tipo di autenticazione "Basic" le credenziali sono formate in questo modo:
- Lo username e la password sono combinate con il simbolo dei due punti (
aladdin:opensesame
). - La stringa risultante è codificata in base64 (
YWxhZGRpbjpvcGVuc2VzYW1l
).
Note: La codifica Base64 non significa che venga effettuato un hash o una cifratura! Questo metodo è sicuro tanto quanto mandare le credenziali in chiaro (base64 è un codifica reversibile). Preferibilmente usa la Basic Authentication assieme al protocollo HTTPS.
- Lo username e la password sono combinate con il simbolo dei due punti (
Esempi
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
Guarda anche HTTP authentication per esempi su come configurare i server Apache o nginx con password per proteggere i tuoi siti con l'autenticazione HTTP.
Specifiche
Specification | Title |
---|---|
RFC 7235, section 4.2: Authorization | HTTP/1.1: Authentication |
RFC 7617 | The 'Basic' HTTP Authentication Scheme |