Duda con la cabecera WWW-authenticate

roscar · #1 (**permalink**) 22/05/2008, 02:45

Hola a tod@s,

Estaba intentando entender una autentificación http y me han surgido las siguientes dudas:

Inicialmente haces la petición a un recurso en el servidor (por ejemplo a un servlet) y este recurso es un rescurso restringido, con lo cual respondes con una página 401 en la q envias la cabecera WWW.Autenticate, el navegador al recibir esa cabecera muestra la ventana de login y password y una vez te logeas vuelve a realizar la peticion del servlet enviando la cabecera authentication. Hasta ahí bien, pero ahora tengo la siguiente duda, si ese servlet llama a otro servlet que tb necesita autentication o desde esa pagina se llama a otra que tb necesita autorizacion, ¿Cómo pide el recurso del servidor la cabecera al navegador? Es decir, ¿como sabe el navegador cuando tiene que enviar esa cabecera Authorization?Cuando recibe del servidor una WWW.Authenticate?o como? y otra cosa si sólo te pide el usuario y contraseña una vez, y el resto de las veces las manda automaticamente, el valor de la cabecera authenticate se guardad en meroria del navegador o donde?

#2 (**permalink**) 22/05/2008, 14:13

Siendo un poco "generalista", lo que sucede es que la autenticación HTTP se basa en carpetas, es decir, el usuario obtiene un permiso que solo vale para los archivos de la carpeta protegida.

Para cualquier petición dirigida a un archivo dentro de esa carpeta, el navegador envía la cabecera Authentication.

Y con respecto a cómo guarda la información, la respuesta más común creo que sería "en memoria", dado que una vez que se cierra la ventana el navegador pierde la información. De hecho esta es la única manera segura y definitiva de "cerrar la sesión" cuando se usa este método: cerrando la ventana del navegador.

Saludos.

roscar · #3 (**permalink**) 23/05/2008, 00:49

Muchas gracias, no sabia que la autenticación iba por carpetas, yo pensaba que se hacia en cada recurso en concreto, ¿entonces como se implementaria? Desde el servidor en algun archivo de configuración se especifica una carpeta donde estan los recursos protegidos?Yo pensaba que se hacia directamente cuando desarrollabas la página web, que tu mirabas si te enviaba la cabecera autorization y si no era asi enviabas la respuesta 401 pidiendola y que apartir de ahi siempre se enviaba. Pero si es como tu dices, ¿entonces se deja del lado del servidor? Y otra cosa ¿como sabe el navegador que recursos están bajo esa carpeta para saber que tiene que enviarle la cabecera autorization?O es que una vez se ha pedido el login y pasword una vez y se a generado esa cabecera ya simepre se envia?

Muchas gracias de nuevo

#4 (**permalink**) 23/05/2008, 10:03

Cita:

yo pensaba que se hacia en cada recurso en concreto

Puede hacerse así también, pero por carpetas es como se usa normalmente.

Cita:

¿entonces como se implementaria?

Se puede hacer con PHP, pero la forma más común es hacerlo con el archivo .htaccess en un servidor apache.

Cita:

Yo pensaba que se hacia directamente cuando desarrollabas la página web, que tu mirabas si te enviaba la cabecera autorization y si no era asi enviabas la respuesta 401 pidiendola y que apartir de ahi siempre se enviaba.

Es una forma de hacerlo, parecido a cómo funciona haciéndolo enteramente con PHP.

Cita:

¿entonces se deja del lado del servidor?

No, para nada. Es el servidor el que recibe las cabeceras, después de todo. Y es el servidor el que hace todo el trabajo si usás el método del .htaccess

Cita:

¿como sabe el navegador que recursos están bajo esa carpeta para saber que tiene que enviarle la cabecera autorization?

Simple, si en tu .htaccess especificás que la carpeta /cosas está protegida, el navegador enviará la cabecera con los datos en cualquier petición a cualquier archivo dentro de /cosas (por ejemplo, /cosas/imagen.gif)

Te dejo unos enlaces para que puedas empezar a entender mejor el tema:

http://www.php.net/manual/es/features.http-auth.php
http://www.google.com/search?client=...utf-8&oe=utf-8

Saludos

roscar · #5 (**permalink**) 23/05/2008, 12:18

De acuerdo, muchas gracias, voy a echarle un vistazo a los enlaces.

Saludos