- HTTP는 자체적인 인증 관련 기능을 제공하며 HTTP 표준에 정의된 가장 단순한 인증 기법이다.
- 간단한 설정과 stateless가 장점 - Session Cookie(JSESSIONID) 사용하지 않음
- 보호자원 접근 시 서버가 클라이언트에게 401 응답과 함께 WWW-Authenticate header를 기술해서 인증 요구를 보낸다.
- Client는 ID PWD 값을 Base64로 인코딩 한 문자열을 Authorization Header에 추가한 뒤 서버에 리소스를 요청한다.
- Base64에 인코딩이 되어있기 때문에 쉽게 노출되는 구조라 SSL, TLS는 필수이다.