2.7.2.2. 使用 HTTP 接口进行本地和远程客户端身份验证

HTTP 接口可以由与运行 JBoss EAP 实例相同的主机上的客户端在本地调用，或者由客户端从另一台计算机远程调用。尽管允许本地和远程客户端访问 HTTP 接口，但访问 HTTP 接口的所有客户端都将被视为远程连接。

当客户端尝试连接 HTTP 管理接口时，JBoss EAP 会发回 HTTP 响应，其状态代码为 401 Unauthorized，还有一组列出受支持的身份验证机制的标头，如 Digest、GSSAPI 等。Digest 的标头还包括 JBoss EAP 生成的非ce。客户端查看标题并选择要使用的身份验证方法，并发送相应的响应。如果客户端选择 Digest，则会提示用户输入其用户名和密码。客户端使用提供的字段，如用户名和密码、非ce 以及一些其他信息片段来生成单向哈希。客户端随后将单向哈希、用户名和非作为响应发送到 JBoss EAP。JBoss EAP 采用该信息、生成另一个单向哈希，比较这两者并根据结果对用户进行身份验证。