本文介绍 Http Authentication 的两种方式：Basic Authentication是HTTP提供的一种验证方式，因为明文传输用户名和密码，非HTTPS环境下很不安全，一般用的非常少；Bearer Authentication

Basic Authentication

HTTP Basic Auth使用两个HTTP Header实现，分别是WWW-Authenticate和Authorization。

流程如下：

• 客户端请求服务器页面，服务器返回401以及WWW-Authenticate: Basic realm="site"。
• 浏览器弹出对话框，提示用户输入用户名和密码。
• 浏览器再次请求页面，携带Authorization: Basic <str>，其中，str=base64(username:password)。
• 服务器返回正常页面。

说明：

• base64只是一个编码过程，而不是加密过程。因此，HTTP Basic Auth是在明文传输用户名和密码，中间设备很容易通过检查数据包获取用户名和密码。
• realm属性用来标注页面所属的域

Bearer Authentication

Bearer authentication (也称 token authentication) 是 HTTP authentication scheme 涉及到称为bearer tokens的安全令牌。Bearer authentication 可以理解为“授予对该令牌持有者的访问权”。bearer token是一个加密的字符串，通常由服务器响应登录请求生成。客户端向受保护资源发出请求时，必须在授权头中发送此令牌，格式为:

Authorization: Bearer <token>