Протокол HTTP

Теория: Базовая аутентификация

Полный доступ к материалам

Зарегистрируйтесь и получите доступ к этому и десяткам других курсов

Аутентификация в HTTP представляет собой процесс проверки подлинности пользователя или клиента. Это важная часть системы безопасности, которая позволяет серверу убедиться, что доступ к его ресурсам получает именно тот, кто имеет на это право. В HTTP существует несколько типов аутентификации, среди которых самой простой является базовая аутентификация.

Базовая аутентификация

Базовая аутентификация, выглядит как окошко браузера запрашивающее логин и пароль при входе на сайт или какой-то из его разделов. Возможно вы даже сталкивались с таким запросом в интернете (пример).

Окно базовой аутентификации

Базовая аутентификация настраивается на серверной стороне, либо внутри приложения (сайта), либо внутри веб-сервера, например Nginx. Для этого указывается конкретная пара логин/пароль для определенного пути в браузере. Пример с Nginx ниже:

server {
    listen 80;
    server_name hexlet.io;

    # Путь для которого включается базовая аутентификация
    location /secret-path/ {
        # Сообщение, которое будет отображаться в диалоговом окне аутентификации
        auth_basic "Секретная зона";
        # Путь до файла в котором хранятся логин и закодированный пароль
        auth_basic_user_file /etc/nginx/.htpasswd;

        # Остальная конфигурация
        proxy_pass http://backend_server;
    }
}

Когда пользователь переходит на страницу, на которой настроена базовая аутентификация, серверная часть проверяет наличие логина и пароля в запросе. Передать их можно таким образом:

https://username:password@hexlet.io/secret-path

Если логин и пароль были переданы и они совпали с теми, что указаны на сервере, то запрос пройдет. Если они не совпали или не были переданы, то сервер возвращает код ответа: HTTP 401 Unauthorized. Ответ может сопровождаться заголовком WWW-Authenticate, указывающему клиенту на запрос логина и пароля. Именно поэтому браузер показывает окошко для ввода данных.

Схема работы базовой аутентификации

Логин и пароль, указанные в модальном окне, передаются на сервер в виде заголовка с закодированным сообщением:

GET /secret-path/ HTTP/1.1
Host: hexlet.io
Authorization: Basic aHR0cHdhdGNoOmY=

Когда логин и пароль введены, нас не просто пускает в закрытую зону, но и все дальнейшие запросы будут проходить, хотя мы больше ничего не вводим. После того как пользователь успешно аутентифицирован, браузер или клиент API автоматически включает заголовок Authorization с теми же учетными данными во все последующие запросы к тому же серверу (до тех пор, пока сессия не завершится или ресурс не изменится). Это значит, что сервер продолжает проверять логин и пароль на каждом запросе, но клиент всегда предоставляет их автоматически, поэтому пользователь не замечает повторных запросов аутентификации.