据我所知,代理使用与 HTTP 类似的质询/响应系统进行身份验证,不同之处在于 HTTP 返回 401 响应代码,而响应代码为 407。
但是,如果客户端配置为使用代理,并且身份验证设置正确,它是否需要*执行质询/响应操作?它不能只将第一个请求中的哈希值发送给代理并进行身份验证吗?
*需要是指需要根据 RFC 规范进行更正(我不确定哪一个涵盖了代理)
答案1
对于摘要式身份验证,我认为这是不可能的。
根据 RFC 2617,摘要式身份验证基于服务器发送的随机数值的质询/响应。由于服务器跟踪随机数和 cnonce 值,因此客户端必须在身份验证之前收到随机数值。