Authorization

Baseline Widely available *

This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.

* Some parts of this feature may have varying levels of support.

L'en-tête de requête HTTP Authorization contient les identifiants permettant l'authentification d'un utilisateur auprès d'un serveur, habituellement après que le serveur ait répondu avec un statut 401 Unauthorized et l'en-tête WWW-Authenticate

Type d'en-tête Request header
Nom d'en-tête interdit Non

Syntaxe

Authorization: <type> <credentials>

Directives

<type>

Le type d'authentification. Le type "Basic" est souvent utilisé. Pour connaître les autres types :

<credentials>

Si c'est le type d'authentification "Basic" qui est utilisé, les identifiants sont construits de la manière suivante :

  • L'identifiant de l'utilisateur et le mot de passe sont combinés avec deux-points : (aladdin:sesameOuvreToi).
  • Cette chaîne de caractères est ensuite encodée en base64 (YWxhZGRpbjpzZXNhbWVPdXZyZVRvaQ==).

Note : L'encodage en Base64 n'est pas un chiffrement ou un hachage ! Cette méthode est aussi peu sûre que d'envoyer les identifiants en clair (l'encodage base64 est un encodage réversible). Il faudra privilégier HTTPS lorsqu'on emploie une authentification "basique".

Exemples

Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l

Voir aussi l'article authentification HTTP avec des exemples de configuration de serveurs Apache ou nginx pour protéger votre site grâce à un mot de passe et l'authentification HTTP basique.

Spécifications

Specification
HTTP Semantics
# field.authorization

Compatibilité des navigateurs

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
Authorization
Basic authentication
Digest authentication
SHA2-256 digest authentication
MD5 digest authentication
NTLM authentication
Negotiate (Kerberos) authentication
Authorization header removed from cross-origin redirects

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
No support
No support

Voir