Web applications 服务器是否决定采用何种身份验证方法?
对于Web应用程序,是由服务器决定采用何种身份验证方法,还是由客户端决定 身份验证方法(如NTLM和Kerberos)是特定于浏览器的 在intranet web应用程序中,与NTLM和Kerberos相比,BASIC和Diget的地位在哪里 谢谢:)如中所述,这需要双方的合作 当访问资源需要凭据时,服务器将返回一个Web applications 服务器是否决定采用何种身份验证方法?,web-applications,security,kerberos,ntlm,ntlmv2,Web Applications,Security,Kerberos,Ntlm,Ntlmv2,对于Web应用程序,是由服务器决定采用何种身份验证方法,还是由客户端决定 身份验证方法(如NTLM和Kerberos)是特定于浏览器的 在intranet web应用程序中,与NTLM和Kerberos相比,BASIC和Diget的地位在哪里 谢谢:)如中所述,这需要双方的合作 当访问资源需要凭据时,服务器将返回一个401响应,其中包含一个或多个WWW-Authenticate头,指示其支持的身份验证类型。如果有多个WWW-Authenticate头,则客户端“必须选择使用其理解的最强身份验证方
401
响应,其中包含一个或多个WWW-Authenticate
头,指示其支持的身份验证类型。如果有多个WWW-Authenticate
头,则客户端“必须选择使用其理解的最强身份验证方案,并根据该质询请求凭据。”
因此,答案可能是:
WWW-Authenticate: Basic realm="protected area"
WWW-Authenticate: Digest
realm="protected area"
qop="auth"
nonce="ea9c8142787af00ec11bd0eac248cac930"
opaque="cdc069ca3ffe57acff21c259deadbeef"
WWW-Authenticate: Negotiate
这表示服务器愿意接受中所述的基本和摘要机制,并使用中所述的“SPNEGO”(协商机制)接受NTLM或Kerberos
然后,客户机必须决定这些方案中哪一个是最强的,并再次发送请求。这取决于所讨论的用户代理,但这些机制按假定的优缺点进行评级(因此最首选的是最后一个):