этого используется расширяемая, не чувствительная к регистру лексема

идентификации схемы установления подлинности (authentication scheme) и

список пар атрибут-значение (attribute-value), разделенных запятыми. Пары

представляют параметры, необходимые для установления подлинности при

использовании этой схемы.

auth-scheme = token

auth-param = token "=" quoted-string

Сообщение ответа с кодом 401 (Несанкционирован, Unauthorized)

используется первоначальным сервером для вызова (challenge) установления

подлинности (authorization) агентом пользователя. Этот ответ должен

содержать поле заголовка WWW-Authenticate, содержащее по крайней мере один

вызов (challenge), применимый к запрошенному ресурсу.

challenge = auth-scheme 1*SP realm *( "," auth-param )

realm = "realm" "=" realm-value realm-value = quoted-string

Атрибут области (realm) (не чувствительный к регистру) необходим во

всех схемах установления подлинности, которые выдают вызов (challenge).

Значение аттрибута realm (чувствительное к регистру), в комбинации с

каноническим корневым URL (canonical root URL) сервера, к которому обращен

запрос, идентифицирует защищенную область (protection space). Эти области

позволяют разбивать защищенные ресурсы сервера на множество областей,

каждая из которых имеет собственную схему установления подлинности и/или

базу данных авторизации (authorization database). Значение realm - это

строка, вообще говоря назначенная первоначальным сервером, которая может

иметь дополнительную семантику, специфическую для схемы установления

подлинности.

Агент пользователя, который хочет доказать свою подлинность серверу,

обычно, но не обязательно, может это сделать после получения ответа с кодом

состояния 401 или 411, включив поле заголовка Authorization в запрос.

Значение поля Authorization состоит из рекомендаций (credentials), которые

содержат информацию установления подлинности (authentication information)

агента пользователя для области (realm), в которой лежит запрошенный

ресурс.

credentials = basic-credentials | auth-scheme #auth-param

Область (domain), над которой рекомендации (credentials) могут

автоматически применяться агентом пользователя, определена областью защиты

(protection space). Если подлинность была установлена предшествующим

запросом, то эти же рекомендации (credentials) могут использоваться

многократно во всех других запросах внутри этой области защиты (protection

space) в течении времени, определенного схемой установления подлинности,

параметрами, и/или установками пользователя. Если схемой установления

подлинности не определено иного, то одиночная область защиты (protection

space) не может простираться за пределы области сервера (the scope of its

server).

Если сервер не желает принимать рекомендации (credentials), посланные

в запросе, то ему следует возвратить ответ с кодом 401 (Несанкционирован,

Unauthorized). Ответ должен включать поле заголовка WWW-Authenticate,

содержащее (возможно новый) вызов (challenge), применимый к запрошенному

ресурсу, и объект, объясняющий отказ.

Протокол HTTP не ограничивает возможности приложений по установлению

подлинности доступа использованием этого простого механизма вызовов-ответов

(challenge-response). можно использовать дополнительные механизмы, такие

как шифрование на транспортном уровне или формирование пакета сообщения

(message encapsulation) с дополнительными полями заголовка, определяющими

информацию установления подлинности. Однако эти дополнительные механизмы не

определены данной спецификацией.

Прокси-сервера должны быть полностью прозрачны для установления

подлинности агента пользователя. То есть они должны пересылать заголовки

WWW-Authenticate и Authorization нетронутыми.

HTTP/1.1 позволяет клиенту передавать информацию установления

подлинности для и от прокси-сервера посредством заголовков Proxy-

Authenticate и Proxy-Authorization.

11.1 Базовая схема установления подлинности (Basic Authentication

Scheme).

"Базовая" схема установления подлинности основана на том, что агент

пользователя должен доказывать свою подлинность при помощи идентификатора

пользователя (user-ID) и пароля (password) для каждой области (realm).

Значению области (realm) следует быть непрерывной (opaque) строкой, которую

можно проверять только на равенство с другими областями на этом сервере.

Сервер обслужит запрос, только если он может проверить правильность

идентификатора пользователя (user-ID) и пароля (password) для защищенной

области (protection space) запрошенного URI (Request-URI). Никаких

опциональных опознавательных параметров нет.

После получения запроса на URI, находящийся в защищаемой области

(protection space), сервер может ответить вызовом (challenge), подобным

следующему:

WWW-Authenticate: Basic realm="WallyWorld"

где "WallyWorld" - строка, назначенная сервером, которая

идентифицирует область защиты запрашиваемого URI (Request-URI).

Чтобы получить права доступа, клиент посылает идентификатор

пользователя (userid) и пароль (password), разделенные одним символом

двоеточия (":"), в base64-кодированной строке рекомендаций (credentials).

basic-credentials = "Basic" SP basic-cookie

basic-cookie =

user-pass = userid ":" password

userid = *

password = *TEXT

Userid может быть чувствителен к регистру.

Если агент пользователя хочет послать идентификатор пользователя

(userid) "Aladdin", и пароль (password) "open sesame", он будет

использовать следующее поле заголовка:

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

11.2 Обзорная схема установления подлинности (Digest Authentication

Scheme) [1].

13 Кэширование в HTTP.

HTTP обычно используется для распределенных информационных систем,

эффективность которых может быть улучшена при использовании кэшированных

ответов. Протокол HTTP/1.1 включает ряд элементов, предлагаемых как

возможная реализация кэширования. Так как эти элементы отличаются от других

аспектов протокола, и так как они взаимодействуют друг с другом, то полезно

будет описать основы кэширования в HTTP отдельно от детализированных

описаний методов, заголовков, кодов состояния, и прочего.

Цель кэширования в HTTP/1.1 состоит в том, чтобы устранить потребность

посылки запросов во многих случаях, и устранить потребность посылки полных

ответов в других случаях. Кэширование уменьшает число пересылок информации

по сети, требуемых для многих действий; мы используем для этой цели

механизм "устаревания" ("expiration"). Кэширование снижает требования к

пропускной способности сети; мы используем для этой цели механизм "проверки

достоверности" ("validation").

Требования эффективности, доступности, и раздельного функционирования

требуют, чтобы цель семантической прозрачности была отодвинута на второй

план. Протокол HTTP/1.1 позволяет первоначальным серверам, кэшам, и

клиентам явно ограничивать прозрачность в случае необходимости. Однако, так

как непрозрачное функционирование может ввести в заблуждение неопытных (non-

expert) пользователей, и может быть несовместимо с некоторыми серверными

приложениями (такими как заказ товаров), протокол требует, чтобы

прозрачность ослаблялась

- Только явным запросом на уровне протокола если ослабление вызывается

клиентом или первоначальным сервером

- Только с явным предупреждением конечного пользователя если ослабление

вызывается кэшем или клиентом

Таким образом протокол HTTP/1.1 предоставляет следующие важные

элементы:

1. Возможности протокола, которые обеспечивают полную семантическую

прозрачность когда это требуется всем сторонам.

2. Возможности протокола, которые позволяют первоначальному серверу или

агенту пользователя явно запрашивать непрозрачное функционирование и

управлять им.

3. Возможности протокола, которые позволяют кэшу присоединять к ответам

предупреждения о том, что запрошенный уровень семантической

прозрачности не сохранен.

Базовый принцип состоит в том, что клиенты должны иметь возможность

обнаружить любое потенциальное ослабление семантической прозрачности.

Реализатор сервера, кэша или клиента может столкнуться с проблемами,

явно не обсужденными в этой спецификации. Если решение может воздействовать

на семантическую прозрачность, реализатор должен принимать решения в

сторону сохранения прозрачности, если осторожный и полный анализ не

показывает значительных выгод раздельного функционирования.

13.1 Общая информация о кэшировании.

13.1.1 Правильность кэша.

Правильный кэш должен отвечать на запрос наиболее современным ответом,

соответствующим запросу, из хранимых кэшем который удовлетворяет одному из

следующих условий:

1. Он был проверен на эквивалентность ответу, который возвратил

первоначальный сервер, повторно подтверждая достоверность;

2. Он "достаточно свеж" ("fresh enough"). По умолчанию это означает,

что он удовлетворяет наименьшему из ограничительных требований

свежести клиента, сервера и кэша; если так определено первоначальным

сервером, то это - требование свежести единственно первоначального

сервера.

3. Он включает предупреждение, если свежесть запрошена клиентом или

первоначальный сервер нарушен.

4. Он соответствует сообщению ответа с кодом состояния 304 (не

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16