一旦通过身份验证，HTTP 1.1 授权标头就会随每个请求一起发送到域内的每个资源

Posted 2023-02-24

【中文标题】一旦通过身份验证，HTTP 1.1 授权标头就会随每个请求一起发送到域内的每个资源

【英文标题】：Once authenticated the HTTP 1.1 Authorization header is sent with every request to every resource within domain

【发布时间】：2011-03-25 09:32:18

【问题描述】：

我遇到的情况是，即使请求授权信息的初始 401 身份验证响应包含与服务器上的特定资源相关联的领域，也会将 http 1.1 授权标头发送到给定域下的每个资源。

我从 http 1.1 规范中了解到，浏览器可以先发制人地将 Authorization 标头发送到它已经对其进行身份验证的资源。

客户端可以抢先发送 相应的 Authorization 标头，其中包含对资源的请求 该空间没有收到来自服务器的另一个挑战。 http://www.ietf.org/rfc/rfc2617.txt

但是，浏览器似乎正在使用 Authorization 标头抢占域下的每个资源。

我在使用 Opera 11.1、IE[7,8]、Firefox 3.x 时遇到了相关域和资源的这种行为，这让我有信心（尽管不是 100%）这不是浏览器错误。

值得一提的是，服务器将与相关领域关联的资源显示为由 Apache 2.0 下的“别名”指令管理的虚拟资源，因此对于受保护资源“/x”，apache 配置为：

Alias /x "/absolute/linux/filesystem/path"

<Directory "/absolute/linux/filesystem/path">
...
AuthName     "y"
AuthType Basic
...
</Directory> 

我有一个完全不受支持的理论，其中问题与 apache 将“/x”作为虚拟资源呈现这一事实有关。我想知道这是否最终将领域映射到“/”而不是“/x”。我从浏览器抢占每个资源的 Authorization 标头这一事实得出这个结论。

如果有人能指出我正确的方向，我将不胜感激，因为我可能在设置中错误配置了某些内容。

为简洁起见，我省略了某些信息（例如模块版本等），如果需要，请询问，我将非常乐意提供。

感谢阅读。

克里斯

【参考方案1】：

在此处回答 Apache 用户邮件列表：http://httpd.markmail.org/search/?q=HTTP%201.1%20Authentication#query:HTTP%201.1%20Authentication+page:1+mid:vrkhnxuhynchdmp5+state:results