http基本认证

http基本认证

HTTP/1.0 401 Authorization Required

在HTTP中，基本认证（英语：Basic access authentication）是允许http用户代理（如：网页浏览器）在请求时，提供 用户名 和 密码 的一种方式。

在进行基本认证的过程里，请求的HTTP头字段会包含Authorization字段，形式如下：在HTTP头部里会是这样：Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l。，该凭证是"用户:密码"的组和的base64编码。

最初，基本认证是定义在HTTP 1.0规范（RFC 1945）中，后续的有关安全的信息可以在HTTP 1.1规范（RFC 2616）和HTTP认证规范（RFC 2617）中找到。于1999年 RFC 2617 过期，于2015年的 RFC 7617 重新被定义。

缺点

基本认证 并没有为传送凭证（英语：transmitted credentials）提供任何机密性的保护。仅仅使用 Base64 编码并传输，而没有使用任何 加密 或 散列算法。因此，基本认证常常和 HTTPS 一起使用，以提供机密性。

HTTP 基本认证使用场景

内部网络，或者对安全要求不是很高的网络，用基本认证来做客户端身份识别。

如果服务器是允许匿名用户访问的，那你就没有必要认证。如果服务器是不允许匿名访问的，那么需要用户注册，就会使用用户凭证认证，也不需要基本认证。只有那种只需要一个特定密码就可以访问的场景，例如加了提取码的网盘资源。

我们公司移动APP端使用到了基本认证，用来认证某个到我们服务器的请求是从我们自己的APP发出的，而不是异常来源。