У нас есть ситуация (не спрашивайте почему, мы просто делаем, и ничего не поделаешь :) где:
- Клиент запрашивает ключ сеанса с веб-сервера
W - Клиент отправляет запрос на прокси-сервер
P, передавая этот сеансовый ключ в заголовок авторизации P проверяет, что эти учетные данные действительны с W и либо отклоняет, либо принимает запрос
Обратите внимание, что при таком расположении P ничего не знает о учетных данных пользователя - они авторизуются W, и все, о чем P знает, - это ключ сеанса, предоставленный W.
Вопрос в том, как должен выглядеть заголовок авторизации? Basic <session key> неверно, так как мы не предоставляем учетные данные как таковые, а авторизация Basic - это закодированная в base64 строка username: password. Соответствует ли стандартам HTTP просто пропуск Authorization: <session key>? (Я думаю, что нет.) А если нет, как правильно go?