11.1. Базовая схема установления подлинности (Basic Authentication Scheme)
"Базовая" схема установления подлинности основана на том, что агент пользователя должен доказывать свою подлинность при помощи идентификатора пользователя (user-ID) и пароля (password) для каждой области (realm). Значению области (realm) следует быть непрозрачной (opaque) строкой, которую можно проверять только на равенство с другими областями на этом сервере. Сервер обслужит запрос, только если он может проверить правильность идентификатора пользователя (user-ID) и пароля (password) для защищенной области (protection space) запрошенного URI (Request-URI). Никаких опциональных опознавательных параметров нет.
После получения запроса на URI, находящийся в защищаемой области (protection space), сервер МОЖЕТ ответить вызовом (challenge), подобным следующему:
WWW-Authenticate: Basic realm="WallyWorld"
где "WallyWorld" — строка, назначенная сервером, которая идентифицирует область защиты запрашиваемого URI (Request-URI).
Чтобы получить права доступа, клиент посылает идентификатор пользователя (userid) и пароль (password), разделенные одним символом двоеточия (":"), внутри base64-кодированной строки рекомендаций (credentials).
basic-credentials = "Basic" SP basic-cookie
basic-cookie = <base64-кодированный [7] user-pass,
за исключением не ограниченных 76
символами в строке>
user-pass = userid ":" password
userid = *<TEXT не содержащий ":">
password = *TEXT
Userid может быть чувствителен к регистру.
Если агент пользователя хочет послать идентификатор пользователя (userid) "Aladdin", и пароль (password) "open sesame", он будет использовать следующее поле заголовка:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Соглашения о защите, связанные с базовой схемой установления подлинности, смотрите в разделе 15.
11.2. Обзорная схема установления подлинности (Digest Authentication Scheme)
Обзорное установление подлинности для HTTP определяется в RFC 2069 [32].