如果凭证不正确或无效,并且如果我选择使用401,那么WWW-Authenticate头的值应该是什么?领域应该是什么,尤其是rest api?
我看到的大多数例子都是WWW-Authenticate: realm="Company website" location="...."但这更像浏览器客户端。
最佳答案
www authenticate response header包含“challenge”,challenge包含的内容取决于您使用的身份验证方案。
如果使用基本身份验证,则质询仅包括字符串“basic”和领域,例如:
WWW-Authenticate: Basic realm="WallyWorld"
如果使用摘要身份验证,它应该包含一个字符串“摘要”和许多字段,例如:
WWW-Authenticate: Digest
realm="[email protected]",
qop="auth,auth-int",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
opaque="5ccc069c403ebaf9f0171e9517f40e41"
http身份验证方案请参见RFC 7235,基本身份验证和摘要身份验证请参见RFC 2617。