Authorization
L'en-tête de requête HTTP Authorization contient les identifiants permettant l'authentification d'un utilisateur auprès d'un serveur, habituellement après que le serveur ait répondu avec un statut 401 Unauthorized et l'en-tête WWW-Authenticate
| Type d'en-tête | Request header |
|---|---|
| Nom d'en-tête interdit | Non |
Syntaxe
Authorization: <type> <credentials>
Directives
- <type>
-
Le type d'authentification. Le type
"Basic"est souvent utilisé. Pour connaître les autres types : - <credentials>
-
Si c'est le type d'authentification
"Basic"qui est utilisé, les identifiants sont construits de la manière suivante :- L'identifiant de l'utilisateur et le mot de passe sont combinés avec deux-points : (
aladdin:sesameOuvreToi). - Cette chaîne de caractères est ensuite encodée en base64 (
YWxhZGRpbjpzZXNhbWVPdXZyZVRvaQ==).
Note : L'encodage en Base64 n'est pas un chiffrement ou un hachage ! Cette méthode est aussi peu sûre que d'envoyer les identifiants en clair (l'encodage base64 est un encodage réversible). Il faudra privilégier HTTPS lorsqu'on emploie une authentification "basique".
- L'identifiant de l'utilisateur et le mot de passe sont combinés avec deux-points : (
Exemples
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
Voir aussi l'article authentification HTTP avec des exemples de configuration de serveurs Apache ou nginx pour protéger votre site grâce à un mot de passe et l'authentification HTTP basique.
Spécifications
| Specification |
|---|
| HTTP Semantics # field.authorization |
Compatibilité des navigateurs
BCD tables only load in the browser