[11] WWW-Authenticate: ヘッダー は、
当該対象資源 へのアクセスに必要な認証 についての情報を含む challengechallenge (HTTP)
を指定するものです。
仕様書 [3] RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication (2014-09-11 10:01:28 +09:00 版) https://tools.ietf.org/html/rfc7235#section-4.1 [13] RFC 3261 - SIP: Session Initiation Protocol (2014-08-15 14:48:03 +09:00 版) http://tools.ietf.org/html/rfc3261#section-20.44 [15] RFC 2326 - Real Time Streaming Protocol (RTSP) (2014-10-19 05:24:58 +09:00 版) http://tools.ietf.org/html/rfc2326#section-12.44 [14] RFC 3261 - SIP: Session Initiation Protocol (2014-08-15 14:48:03 +09:00 版) http://tools.ietf.org/html/rfc3261#section-22.2 [16] RFC 4976 - Relay Extensions for the Message Sessions Relay Protocol (MSRP) (2014-10-18 23:44:47 +09:00 版) https://tools.ietf.org/html/rfc4976#section-4.3 [420] RFC 5849 - The OAuth 1.0 Protocol (2012-03-04 10:51:49 +09:00 版) http://tools.ietf.org/html/rfc5849#section-3.5.1 [17] RFC 7616 - HTTP Digest Access Authentication (2015-11-10 07:05:08 +09:00 版) https://tools.ietf.org/html/rfc7616#section-3.6 意味 [5] WWW-Authenticate: ヘッダー は、
対象資源 に適用できる認証方式 (群)と認証引数 を示します >>3
構文 [414] WWW-Authenticate: ヘッダー の値は、
1つ以上 の challengechallenge (HTTP) のリストリスト (HTTP) (#) です >>3 , >>413 , >>417
challengechallenge (HTTP) *OWS , OWS challengechallenge (HTTP) 読点 [1] この欄は、読点で分離することで複数の誰何を併記できます。
ところが、他の同様の欄とは異なり、誰何自体が引数の分離のために読点を使ってしまっています。
auth-scheme があるので構文上曖昧性はないのですが、
このために (欄名に依存しない) 汎用の構文解析器で複数の誰何を分離することができません。
おそらくこのような困った仕様になった原因は太古の HTTP では読点とセミコロンが曖昧に使われていたときの名残でしょう。
[8] 実装によっては、複数の challengechallenge (HTTP) の指定に対応していないことがあります。
鯖 は複数の challengechallenge (HTTP) の指定を避けるべきでしょう。
文脈 [407] 鯖 は、 401 応答 を生成 する場合、
1つ以上 の challengechallenge (HTTP) を含む
WWW-Authenticate: ヘッダー を送信 しなければなりません。
>>3 , >>406 , >>413 , >>417 , >>408 , >>409 , >>411 , >>416
[6] 鯖 は、credentials を指定すると (あるいは他の credentials
に変更すると) 応答 に影響するかもしれないことを示すため、
他の応答 でも WWW-Authenticate: ヘッダー を生成 して構いません >>3
[424] RFC 4559 は 200 WWW-Authenticate: ヘッダー を用いるとしています。
Negotiate [7] WWW-Authenticate: ヘッダー は複数指定できます >>3
処理 [10] HTTP認証 も参照。
[410] プロキシ は、転送 の際に WWW-Authenticate: ヘッダー を変更してはなりません >>3 , >>409 , >>412 , >>419 , >>17
OAuth [421] OAuth 1.0 を使う場合、 auth-scheme が OAuth WWW-Authenticate: 構わない >>420
[422] OAuth の場合は事前に OAuth を使うと分かっていて要求 を発行するのが一般的なので、
WWW-Authenticate: [12] 401 応答 では WWW-Authenticate: ヘッダー が必須ですから (>>407 )、OAuth のみを使う場合で 401 >>421 は MAY MUST 関連 [18] WWW-Authenticate: ヘッダー は、
要求 に適切な credentials が含まれず認証 に失敗した時に使います。
認証 に成功した時のサーバー からクライアント への情報伝達には、
Authentication-Info: ヘッダー が使われます。
歴史 RFC 第1世代 [406] RFC 1945 - Hypertext Transfer Protocol -- HTTP/1.0 (2012-02-18 23:25:56 +09:00 版) http://tools.ietf.org/html/rfc1945#section-10.16 [408] RFC 1945 - Hypertext Transfer Protocol -- HTTP/1.0 (2012-02-18 23:25:56 +09:00 版) http://tools.ietf.org/html/rfc1945#page-36 [409] RFC 1945 - Hypertext Transfer Protocol -- HTTP/1.0 (2012-02-18 23:25:56 +09:00 版) http://tools.ietf.org/html/rfc1945#section-11 RFC 第2世代 [411] RFC 2068 - Hypertext Transfer Protocol -- HTTP/1.1 (2012-02-18 23:30:14 +09:00 版) http://tools.ietf.org/html/rfc2068#section-10.4.2 [412] RFC 2068 - Hypertext Transfer Protocol -- HTTP/1.1 (2012-02-18 23:30:14 +09:00 版) http://tools.ietf.org/html/rfc2068#page-66 [413] RFC 2068 - Hypertext Transfer Protocol -- HTTP/1.1 (2012-02-18 23:30:14 +09:00 版) http://tools.ietf.org/html/rfc2068#section-14.46 RFC 第3世代 [416] RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1 (2012-01-09 20:55:20 +09:00 版) http://tools.ietf.org/html/rfc2616#section-10.4.2 [417] RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1 (2012-01-09 20:55:20 +09:00 版) http://tools.ietf.org/html/rfc2616#section-14.47 [419] RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication (2012-01-09 21:04:30 +09:00 版) http://tools.ietf.org/html/rfc2617#page-5 [403] RFC 1945 (HTTP/1.0) 10.16; RFC 2068 (HTTP/1.1) 14.46; RFC 2616 (HTTP/1.1) 14.47 WWW-Authenticate[404] 注記のない変更点は、 RFC 1945→RFC 2068 のもの。The WWW-Authenticate response-header field must MUST be included in 401
(unauthorized Unauthorized ) response messages. The field value consists of at
least one challenge that indicates the authentication scheme(s) and
parameters applicable to the Request-URI.
WWW-Authenticate 応答頭欄 は、
401 なりません 。
欄値は、最低一つの誰何 で構成します。
誰何は、その Request-URI
WWW-Authenticate = "WWW-Authenticate" ":" 1#challenge The HTTP access authentication process is described in section 11 {2616} "HTTP Authentication: Basic and Digest Access Authentication" [43] must MUST are advised to take special care in parsing the WWW-Authenticate
field value if it {2616} as it mights {1945,2068} more than one challenge, or if more than
one WWW-Authenticate header field is provided, since the contents of a challenge may itself {2616} the contents of a challenge itself can
HTTP 接続認証処理は RFC2617 で説明されています。
利用者エージェント は WWW-Authenticate 欄値を構文解析するに当たって特別の注意を払うように助言しておきます。
欄値は複数の誰何を含むかもしれませんし、
複数の WWW-Authenticate 頭欄が提供されているなら、
誰何の内容自体が認証引数群の読点分離並びを含むかもしれません。
RFC 第4世代 [4] RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication (2014-09-11 10:01:28 +09:00 版) https://tools.ietf.org/html/rfc7235#section-4.1 実装 [2] realm にセミコロンが含まれると、
(quoted-string
ClassicMozilla はセミコロン前でぶった切ってしまいます。
(そのくせ、引用開始の引用符はちゃんと省いて表示してくれる。)
(NN2 , NC 4.01 で確認。)
WinIE1 ですらこんなことはありませんでした。
なんと、 Mosaic Netscape 0.9
は正しく処理します。
[402] フォーム の提出 先が基本認証 の時の動作が変なブラウザーがありますね。
Gecko とか WinIE とか WebKit とか。最初必ず認証なしで試して、 401 Firefox だと最初の1回目だけ変なことがあって次からはうまくいくみたいですが。
リンク先が違うディレクトリ だったりとかも関係してるっぽ。
Safari と Chrome の間でもなんかちがうな。。。
例 [9] HTTP 仕様書 >>3 認証方式 と基本認証 を併用した例が示されています。
WWW-Authenticate: Newauth realm="apps", type=1,
title="Login to \"apps\"", Basic realm="simple" 関連 [405] 起源鯖 ではなく、途中の串 について行う認証 のための
Proxy-Authenticate: