Quando l'intestazione dell'autorizzazione viene inviata automaticamente dal browser?

Question

Sto cercando di sapere quando è l'intestazione Authorization inviata automaticamente dal browser e quando no.

Con la lettura di diversi posti e la sperimentazione, ho scoperto che il browser invia solo le credenziali:

• Quando si utilizza l'autenticazione Basic, e solo se l'input dell'utente il nome utente e la password direttamente nella finestra del browser (non , ad esempio, se sono stati forniti in XMLHttpRequest).
• Quando si utilizza l'autenticazione NTLM

mi piacerebbe trovare un documento in cui si afferma quando il browser dovrebbe e non dovrebbe inviare l'intestazione automaticamente (qualcosa di simile a un documento di specifiche). Sono particolarmente interessato ai tipi di intestazione OAuth e BearerAuthorization.

Answer 1

In genere i browser Web inviano l'intestazione di autorizzazione quando ha ricevuto risposta 401. RFC 7235 "Hypertext Transfer Protocol (HTTP/1.1): Autenticazione ", dice:

Il "Autorizzazione" campo di intestazione consente un agente utente di autenticarsi se stesso con un server di origine - di solito, ma non necessariamente, dopo riceve una risposta 401 (non autorizzata).

Se si trovano le specifiche per l'autenticazione HTTP, vedere "Hypertext Transfer Protocol (HTTP) Authentication Scheme Registry" che fornisce l'elenco degli schemi di autenticazione e dei riferimenti.