为什么 HTTP 身份验证的 header 称为 "Authorization" 而不是 "Authentication"
Why is the header for HTTP Authentication called "Authorization" and not "Authentication"
据我了解,to "Authenticate" 意味着证明你是你自称的人。成为 "Authorized" 意味着您有权执行您正在尝试的操作。
那么,为什么在 RFC for HTTP authentication 中,您通过名为 'Authorization' 的 header 进行身份验证(证明您是您所说的人)?你并不能证明你被允许进行某项操作。
The "basic" authentication scheme is based on the model that the
client must authenticate itself with a user-ID and a password for
each realm...
...If the user agent wishes to send the userid "Aladdin" and password
"open sesame", it would use the following header field:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
a) 实际的 RFC 是 7235,而不是 2617。
b) 我认为这是一个历史性错误。这是我得到的最佳答案(请注意,我是较新的 RFC 的作者之一)
据我了解,to "Authenticate" 意味着证明你是你自称的人。成为 "Authorized" 意味着您有权执行您正在尝试的操作。
那么,为什么在 RFC for HTTP authentication 中,您通过名为 'Authorization' 的 header 进行身份验证(证明您是您所说的人)?你并不能证明你被允许进行某项操作。
The "basic" authentication scheme is based on the model that the client must authenticate itself with a user-ID and a password for each realm...
...If the user agent wishes to send the userid "Aladdin" and password "open sesame", it would use the following header field:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
a) 实际的 RFC 是 7235,而不是 2617。
b) 我认为这是一个历史性错误。这是我得到的最佳答案(请注意,我是较新的 RFC 的作者之一)