Если I (HTTP-клиент) подключается к серверу с параметрами аутентификации (имя пользователя/пароль), и сервер отправляет мне 301 ответ (постоянный переадресация), должен ли мой HTTP-клиент автоматически отправлять имя пользователя/пароль с запросом, отправляющимся в новое место?Должна ли быть разрешена авторизация при переадресации?
Вопрос касается стандартных и лучших практик - я не мог найти ничего определенного в RFC 2616 и RFC 2617.
Я не знаю, поможет ли это вам вообще, но большинство сообщений, которые я видел по этому поводу, сказали, что заголовок авторизации следует удалить для перенаправления. Есть несколько ошибок в github, когда люди просят удалить заголовок авторизации, потому что это стандарт.
«К сожалению, когда перенаправление завершено, заголовок авторизации удаляется из нового запроса». http://blogs.msdn.com/b/paulking/archive/2011/03/31/how-to-lose-your-authorization-head-er-with-a-bad-url.aspx
«Заголовок авторизации очищается при автопереадресации, а HttpWebRequest автоматически пытается повторно аутентифицироваться в перенаправленном местоположении». http://msdn.microsoft.com/en-us/library/system.net.httpwebrequest.allowautoredirect.aspx
https://github.com/mikeal/request/issues/450
http://lists.apple.com/archives/webkitsdk-dev/2011/Mar/msg00004.html
Я редактировал свой титул. Пожалуйста, смотрите: «Если вопросы включают« теги »в их названиях?] (Http://meta.stackexchange.com/questions/19190/), где консенсус« нет, они не должны ». –