RFC: 2068
Оригинал: Hypertext Transfer Protocol - HTTP/1.1
Другие версии: RFC 2616
Категория: Предложенный стандарт
Дата публикации:
Авторы: , , , ,
Перевод: Алексей Симонов

11. Установление подлинности доступа (Access Authentication)

HTTP обеспечивает для установления подлинности простой механизм вызов-ответ (challenge-response), который МОЖЕТ использоваться сервером для вызова (challenge) клиентского запроса, а клиентом для предоставления опознавательной информации (authentication information). Он использует расширяемую, не чувствительную к регистру лексему идентификации схемы установления подлинности (authentication scheme) и отделенный запятой список пар атрибут-значение (attribute-value), которые представляют параметры, необходимые для установления подлинности с использованием этой схемы.

auth-scheme    = token

auth-param     = token "=" quoted-string

Сообщение ответа с кодом 401 (Несанкционирован, Unauthorized) используется первоначальным сервером для вызова (challenge) установления подлинности (authorization) агентом пользователя. Этот ответ ДОЛЖЕН содержать поле заголовка WWW-Authenticate, включающее по крайней мере один вызов (challenge), применимый к запрошенному ресурсу.

challenge      = auth-scheme 1*SP realm *( "," auth-param )

realm          = "realm" "=" realm-value
realm-value    = quoted-string

Атрибут области (realm) (не чувствительный к регистру) требуется для всех схем установления подлинности, которые выдают вызов (challenge). Значение аттрибута realm (чувствительное к регистру), в комбинации с каноническим корневым URL (смотреть раздел 5.1.2) сервера, к которому обращен запрос, определяет область защиты (protection space). Эти области позволяют разбивать защищенные ресурсы сервера на множество областей, каждая из которых имеет собственную опознавательную схему и/или базу данных установления подлинности (authorization database). Значение realm — строка, вообще говоря назначенная первоначальным сервером, которая может иметь дополнительную семантику, специфическую для схемы установления подлинности (authentication scheme).

Агент пользователя, который хочет доказать свою подлинность серверу, обычно, но не обязательно, МОЖЕТ это сделать после получения ответа с кодом состояния 401 или 411, включив поле заголовка Authorization в запрос. Значение поля Authorization состоит из рекомендаций (credentials), содержащих информацию установления подлинности (authentication information) агента пользователя для области (realm) запрошенного ресурса.

credentials    = basic-credentials
               | auth-scheme #auth-param

Область (domain), над которой рекомендации (credentials) могут автоматически применяться агентом пользователя, определена областью защиты (protection space). Если подлинность была установлена предшествующим запросом, то эти же рекомендации (credentials) МОГУТ использоваться многократно во всех других запросах внутри этой области защиты (protection space) в течении времени, определенного схемой установления подлинности, параметрами, и/или установками пользователя. Если схемой установления подлинности не определено иного, то одиночная область защиты (protection space) не может простираться шире области сервера (the scope of its server).

Если сервер не желает принимать рекомендации (credentials), посланные в запросе, то ему СЛЕДУЕТ возвратить ответ с кодом 401 (Несанкционирован, Unauthorized). Ответ ДОЛЖЕН включать поле заголовка WWW-Authenticate, содержащее (возможно новый) вызов (challenge), применимый к запрошенному ресурсу, и объект, объясняющий отказ.

Протокол HTTP не ограничивает приложения использованием этого простого механизма вызов-ответ (challenge-response) для установления подлинности доступа. МОЖНО использовать дополнительные механизмы, такие как шифрование на транспортном уровне или формирование пакета сообщения (message encapsulation) с дополнительными полями заголовка, определяющими информацию установления подлинности. Однако эти дополнительные механизмы не определены в этой спецификации.

Прокси-сервера ДОЛЖНЫ быть полностью прозрачны для установления подлинности агента пользователя. То есть они ДОЛЖНЫ пересылать заголовки WWW-Authenticate и Authorization нетронутыми и следовать правилам раздела 14.8.

HTTP/1.1 позволяет клиенту передавать информацию установления подлинности для и от прокси-сервера посредством заголовков Proxy-Authenticate и Proxy-Authorization.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.