有没 http 协议大神，求助回答一个 authorization 的问题

› httpbin - 协议调试工具

› httpstatuses - 协议状态码查询

› httpie - cURL-like tool for humans

Fiddler

This topic created in 4117 days ago, the information mentioned may be changed or developed.

先上code：
var xmlhttp = new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
if(xmlhttp.readyState==1){
console.log('request opened ')
console.log(document.domain);
}
if(xmlhttp.readyState==2){
console.log('request header recieved ')
}
if(xmlhttp.readyState==4){
console.log('Request finished and response is ready \nResponse code: '+xmlhttp.status)
}
}

server需要authentication才可以访问。
我发现browser会在 xmlhttp 的readyState变成 Opened的时候就会prompt一个登录框。
这时候request还没有send，browser怎么知道需要username password呢？
我想在http request真正发送之前，肯定有个隐蔽的和server的通信。求解释

request

XMLHttp

browser

9 replies • 2015-03-02 22:42:31 +08:00

southwolf

Mar 2, 2015

想想也知道，如果request没有send，都不知道server端需不需要验证，怎么可能弹框……
必然是发了一个请求，服务器那边说不行，浏览器才灰溜溜地找你要密码嘛……

binux

Mar 2, 2015

LZ 知道 callback 吗？

lerry

Mar 2, 2015

$ curl -vv xxx.com
* Rebuilt URL to: xxx.com/
* Hostname was NOT found in DNS cache
* Trying xxx.xxx.xxx.xxx...
* Connected to xxx.com (xxx.xxx.xxx.xxx) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.37.1
> Host: xxx.com
> Accept: */*
>
< HTTP/1.1 401 Unauthorized
< Server: xxx
< Date: Mon, 02 Mar 2015 06:07:33 GMT
< Content-Type: text/html
< Content-Length: 644
< Connection: keep-alive
< WWW-Authenticate: Basic realm="Restricted"
<
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head><title>401 Authorization Required</title></head>...

请求已经发了，header里要求认证

shuson

Mar 2, 2015

@lerry 刚用fiddler看了看，发现如果是一个https的url，在xmlHttpRequest open后会有一个请求至https://xxxx:443的请求，之后跟着一个https://xxx的请求但是header里没有authentication，第三次才是header里带着authentication的请求发送给server

也就是说xhr会预先发送一个没有username 和 password的试试看，如果不行就respond一个401，再发一个有username和password的，如果username和password不对，就再次要求authentication

lerry

Mar 2, 2015

请求-->发现需要认证-->prompt让你输入账号密码-->带着认证信息再次请求