授權頭

Question

我正在使用摘要式身份驗證來檢查用戶是否知道服務器的ID和PW。 一旦客戶端由於知道憑據（服務器已將其哈希響應與客戶端的哈希響應進行匹配）而進入服務器，則其所有請求均具有Authorization標頭。 這正常嗎？ 授權標頭不是只發送一次嗎？

客戶通過摘要挑戰后，他的所有請求都將如下所示（所有請求都具有Authorization標頭）：

GET /XMLAliasRegDev HTTP/1.1
***Here's the Host***
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://Here's the Host/webpage/html/registry.htm
Authorization: Digest username="xxx", realm="xxx", nonce="b463d286b77fba6535adc1902e43377a", uri="/XMLAliasRegDev", response="4bedc10d3fd7f3fb90ab518ffead238b", opaque="eb2cdfdb6ebd0e78c0737bc4d58d0d3c"
Connection: keep-alive


GET /webpage/scripts/regjs.js HTTP/1.1
***Here's the Host***
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://Here's the Host/webpage/html/registry.htm
Authorization: Digest username="xxx", realm="xxx", nonce="b463d286b77fba6535adc1902e43377a", uri="/webpage/scripts/regjs.js", response="95cd7035c6abf7666fbdb0068aa69b9a", opaque="eb2cdfdb6ebd0e78c0737bc4d58d0d3c"
Connection: keep-alive

如果服務器已匹配響應，並且服務器正在向客戶端發送資源，為什么客戶端要發送授權標頭？ TY！

PS：我正在使用Arduino作為服務器。

Answer 1

這正常嗎？

絕對。

授權標頭不是只發送一次嗎？

否，按照RFC 2069的規定，有效的響應包含質詢響應。 然后，通過摘要身份驗證在領域中對受保護資源的所有請求中發送該請求。