对于我们的API的用户,我们需要两种类型的身份验证:多重身份验证方案
- 认证API用户(移动设备,合作伙伴集成)
- 验证一个特定的“正常“用户,它拥有我们这边的数据
标准挑战与响应通过WWW-Authenticate
和Authorization
标题处理。我想重用此。
我有以下用例:第一级我们对api用户(例如移动设备)进行身份验证,对于某些api操作,我们还需要对用户(例如移动设备用户)进行身份验证。因此,我们有一个特殊的情况下,我们需要两个认证方案“一次”。
综观http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html我不能看到,具有一个“授权”标头内的两个不同的方案是可能的。
// I just made up delimiter ';'
Authorization: Digest .... ; CustomXXX ...
我是否正确,如果有的话还有替代方案吗?
那你最终会做什么? – 2012-05-31 17:48:30
我们引入了一个自定义的X-MYCOMPANY-授权标头 – 2012-06-03 21:54:25
[多个HTTP授权标头?]可能的重复(https://stackoverflow.com/questions/29282578/multiple-http-authorization-headers) – 2017-07-31 13:15:06