웹의 모든 정보나 업무가 공용은 아니기 때문에, 허가된 사람만이 데이터에 접근하고 업무를 처리할 수 있어야 한다.
서버 요청에 대해 ‘인증 요구’로 응답
| 단계 | 헤더 | 설명 | 메서드/상태 |
|---|---|---|---|
| 요청 | 첫 번째 요청에 인증 정보가 없다 | ||
| 인증 요구 | WWW-Authenticate | 사용자에게 사용자 이름과 비밀번호를 제공하라는 의미로 401 상태 정보와 함께 요청을 반려함. | |
서버에는 각각 다른 비밀번호가 있는 영역을 WWW-Authenticate 에 설명 |
401 Unauthorized | ||
| 인증 | Authorization | 인증 알고리즘, 사용자 이름, 비밀번호를 담아 다시 요청을 보냄 | GET |
| 성공 | Authentication-Info | 인증 정보가 정확하면, 문서와 함께 응답함 | |
선택적 헤더 Authentication-Info : 인증 세션에 관한 추가 정보 기술 응답 |
200 OK |
기밀 문서를 보안 영역(realm) 그룹으로 나눠 저마다 다른 사용자 권한을 요구함
2.2. Protection Space (Realm)
The "realm" authentication parameter is reserved for use by
authentication schemes that wish to indicate a scope of protection.
A protection space is defined by the canonical root URI (the scheme
and authority components of the effective request URI; seeSection5.5 of [RFC7230]) of the server being accessed, in combination with
the realm value if present. These realms allow the protected
resources on a server to be partitioned into a set of protection
가장 잘 알려진 HTTP 인증 규약
WWW-Authenticate 에 기술함.Authentication-Info 헤더를 사용하지 않는다.