Authorization
L'en-tête de requête HTTP Authorization
contient les identifiants permettant l'authentification d'un utilisateur auprès d'un serveur, habituellement après que le serveur ait répondu avec un statut 401
Unauthorized
et l'en-tête WWW-Authenticate
Type d'en-tête | Request header |
---|---|
Nom d'en-tête interdit | Non |
Syntaxe
Authorization: <type> <credentials>
Directives
- <type>
-
Le type d'authentification. Le type
"Basic"
est souvent utilisé. Pour connaître les autres types : - <credentials>
-
Si c'est le type d'authentification
"Basic"
qui est utilisé, les identifiants sont construits de la manière suivante :- L'identifiant de l'utilisateur et le mot de passe sont combinés avec deux-points : (
aladdin:sesameOuvreToi
). - Cette chaîne de caractères est ensuite encodée en base64 (
YWxhZGRpbjpzZXNhbWVPdXZyZVRvaQ==
).
Note : L'encodage en Base64 n'est pas un chiffrement ou un hachage ! Cette méthode est aussi peu sûre que d'envoyer les identifiants en clair (l'encodage base64 est un encodage réversible). Il faudra privilégier HTTPS lorsqu'on emploie une authentification "basique".
- L'identifiant de l'utilisateur et le mot de passe sont combinés avec deux-points : (
Exemples
Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l
Voir aussi l'article authentification HTTP avec des exemples de configuration de serveurs Apache ou nginx pour protéger votre site grâce à un mot de passe et l'authentification HTTP basique.
Spécifications
Specification |
---|
HTTP Semantics # field.authorization |
Compatibilité des navigateurs
BCD tables only load in the browser