Разбираюсь с сабжом. Читаю https://habrahabr.ru/post/245415/

Пока в самом начале, на basic аунтефикации.

А как это работает? клиент при каждом запросе должен передавать base64 зашифрованную пару логин:пароль?

Я как-то никогда не задумывался как это работает. Ведь на любом(почти) портале мы вбиваем логин и пароль и больше нас никто об этом не спрашивает. Я понимаю, что js может у себя что-то сохранять и неявно добавлять эти данные в каждый запрос.

По поводу digest тоже не понятно, ссылка в статье не работает.

на обычном сайте javascript должен делать MD5 из логина и пароля?

MD5 это как я понимаю это односторонняя функция по которой из пароля можно получить хеш, а из хеша пароль - нельзя. Вопрос что хранится на сервере?

Всегда ли одинаковый хеш для пароля или он может меняться?

BlazkowiczJS может ничего не сохранять, эти функции на себя, обычно, берет браузер, а не JS.

Куки?

Petro123questioner,
- нажми F12 для отладки и увидишь в заголовках при базовой от сервера в IE что у него Базовая
- IE покажет окно пароля
- потом он запомнит в сессии и повторно спрашивать не будет.

Браузер как-то по-особому умеет реагировать если аутентификация basic ?

Только IE ?

Подскажите любой сайт с basic аутентификацией?

Blazkowicz
questionerПодскажите любой сайт с basic аутентификацией?
Гугл опять не справляется?
https://auth-demo.aerobatic.io/

гугл говорит, что сервер должен ответить с заголовком вида
авторWWW-Authenticate: Basic realm="How about authorization?"

и тогда клиент(браузер) сможет понять, что это базовая аутентификация

я перехожу по ссылку

https://auth-demo.aerobatic.io/protected-standard/

и не вижу вообще запросов в network.




форму даже поинспектить нельзя

Petro123questioner,

кеш? Ctrl+F5
?
Пробовал. И инкогнито пробовал

Похоже хром такой скрытный. потому, что если даже вбиваю логин и пароль и тыкаю preserve log, в нетворке ничего не отображается, хотя видно, что страница целиком перерисовывается

В firefox видно.

Blazkowiczquestioner,

Зайди на основную страницу. Включи инструменты разработчика и нажми на кнопку STANDARD AUTH. Увидишь все свои хидеры.

А на какой вкладке эта кнопка? не могу найти

Blazkowiczquestioner,

Это кнопка на сайте, а не в браузере.

я так и делаю.

В этот раз другое поведение почему-то, но хидеров как не было так и нет.

В хроме почему при нажатии на отмену вылазит ещё раз окно.

Petro123questionerВ хроме почему при нажатии на отмену вылазит ещё раз окно.
один раз только при входе обещали.
Ты в банкомат давно карту вставлял?
Вот там, даже при входе несколько раз пин вводишь).
В firefox такого нет.

А браузеры поддерживают digest аутентифиацию по особенному как-то?


P.S.

гугл ничего интересного не выдал по запросуавтор digest authentication demo

Petro123questionerА браузеры поддерживают digest
браузеры уже ни при чём
То есть если мне приспичит делать digest аутентификацию, то md5 мне придётся делать ручками на клиенте?

BlazkowiczquestionerТо есть если мне приспичит делать digest аутентификацию, то md5 мне придётся делать ручками на клиенте?
Java уже умеет. И все остальные тоже.

Я наверное не понятно выразился. Я рассматриваю вариант, когда клиентом является браузер.

Вот скажем тут пишут:

автор HTTP authentication

Этот протокол, описанный в стандартах HTTP 1.0/1.1, существует очень давно и до сих пор активно применяется в корпоративной среде. Применительно к веб-сайтам работает следующим образом:

Сервер, при обращении неавторизованного клиента к защищенному ресурсу, отсылает HTTP статус “401 Unauthorized” и добавляет заголовок “WWW-Authenticate” с указанием схемы и параметров аутентификации.
Браузер, при получении такого ответа, автоматически показывает диалог ввода username и password. Пользователь вводит детали своей учетной записи.
Во всех последующих запросах к этому веб-сайту браузер автоматически добавляет HTTP заголовок “Authorization”, в котором передаются данные пользователя для аутентификации сервером.
Сервер аутентифицирует пользователя по данным из этого заголовка. Решение о предоставлении доступа (авторизация) производится отдельно на основании роли пользователя, ACL или других данных учетной записи.

Небезопасно ведь с браузера до сервера передавать пароль по http

Petro123questioner,
Ты журналист или код писать будем?

Чтобы начать что-то писать, надо понять, как это писать.

Petro123questionerНебезопасно ведь с браузера до сервера передавать пароль
ты его сам видел?
Не понял вопроса.

"его" это кого?