授权标头

Question

我正在使用摘要式身份验证来检查用户是否知道服务器的ID和PW。一旦客户端由于知道凭据（服务器已将其哈希响应与客户端的哈希响应进行匹配）而进入服务器，则其所有请求均具有Authorization标头。这正常吗？授权标头不是只发送一次？

客户通过摘要挑战后，他的所有请求都将如下所示（所有请求都具有Authorization标头）：

GET /XMLAliasRegDev HTTP/1.1
***Here's the Host***
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://Here's the Host/webpage/html/registry.htm
Authorization: Digest username="xxx", realm="xxx", nonce="b463d286b77fba6535adc1902e43377a", uri="/XMLAliasRegDev", response="4bedc10d3fd7f3fb90ab518ffead238b", opaque="eb2cdfdb6ebd0e78c0737bc4d58d0d3c"
Connection: keep-alive


GET /webpage/scripts/regjs.js HTTP/1.1
***Here's the Host***
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://Here's the Host/webpage/html/registry.htm
Authorization: Digest username="xxx", realm="xxx", nonce="b463d286b77fba6535adc1902e43377a", uri="/webpage/scripts/regjs.js", response="95cd7035c6abf7666fbdb0068aa69b9a", opaque="eb2cdfdb6ebd0e78c0737bc4d58d0d3c"
Connection: keep-alive

如果服务器已匹配响应，并且服务器正在向客户端发送资源，为什么客户端要发送授权标头？ TY！

PS：我正在使用Arduino作为服务器。

Answer 1

  

这正常吗？

绝对。

  

授权标头不是只发送一次吗？

否，如RFC 2069中所写，有效响应包含质询响应。然后，通过摘要身份验证在领域中对受保护资源的所有请求中发送该请求。