HTTP“授权”标头的多种身份验证方案

时间:2010-09-21 15:29:47

标签: http rest security

对于我们的api用户,我们需要两种身份验证方式:

  • 验证api-user(移动设备,合作伙伴集成)
  • 对在我们这边拥有数据的特定“普通”用户进行身份验证

标准质询与响应是通过WWW-AuthenticateAuthorization标头处理的。我想重复使用它。

我有以下用例:在第一级我们验证api用户(例如移动设备),对于某些api-actions我们还需要验证用户(例如移动设备的用户)。因此,我们有一个特殊情况,我们需要“同时”两个身份验证方案。

查看http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html我无法看到在“授权”标题中有两个不同的方案。


// I just made up delimiter ';'
Authorization: Digest .... ; CustomXXX ...

我是否正确,若有其他选择?

1 个答案:

答案 0 :(得分:7)

不,授权只能使用一组凭据。

相关问题
最新问题