--- title: Authorization slug: Web/HTTP/Headers/Authorization translation_of: Web/HTTP/Headers/Authorization ---

HTTP协议中的 Authorization 请求消息头含有服务器用于验证用户代理身份的凭证，通常会在服务器返回{{HTTPStatus("401")}} Unauthorized 状态码以及{{HTTPHeader("WWW-Authenticate")}} 消息头之后在后续请求中发送此消息头。

Header type	{{Glossary("Request header")}}
{{Glossary("Forbidden header name")}}	no

语法

Authorization: <type> <credentials>

指令

<type>

验证类型。常见的是 "基本验证（Basic）" 。其他类型包括：

<credentials>

如果使用“基本验证”方案，凭证通过如下步骤生成：

用冒号将用户名和密码进行拼接（如：aladdin:opensesame）。
将第一步生成的结果用 base64 方式编码(YWxhZGRpbjpvcGVuc2VzYW1l)。

注意: Base64编码并不是一种加密方法或者hashing方法！这种方法的安全性与明文发送等同（base64可以逆向解码）。“基本验证”方案需要与HTTPS协议配合使用。

示例

Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l

请参考 HTTP authentication 来获取在Apache或nginx中使用HTTP基本验证方案加密保护站点的配置示例。

规范

Specification	Title
{{RFC("7235", "Authorization", "4.2")}}	HTTP/1.1: Authentication
{{RFC("7617")}}	The 'Basic' HTTP Authentication Scheme

参见

HTTP authentication
{{HTTPHeader("WWW-Authenticate")}}
{{HTTPHeader("Proxy-Authorization")}}
{{HTTPHeader("Proxy-Authenticate")}}
{{HTTPStatus("401")}}, {{HTTPStatus("403")}}, {{HTTPStatus("407")}}

[ ... ]也可以看看参见
参看