n  Response – контрольная сумма. Это результат вычисления хэш-функции от комбинации вышеперечисленных параметров и пароля. Обычно вычисляется функция MD5 от строки, состоящей из перечисленных параметров, разделённых двоеточием. Но детали процедуры хэширования зависят от множества обстоятельств, некоторые из которых мы затронем ниже.

Получив идентификационную информацию в заголовке Authorization, сервер вычисляет хэш-функцию по тому же алгоритму, что и клиент, и сравнивает с response. Если совпадения не произошло, значит пароль или имя не верны, сервер снова выдаёт ошибку 401, и попытка авторизации повторяется. Если пользователь успешно идентифицирован, то клиенту выдаются обычный заголовок и требуемый документ:

HTTP/1.1 200 OK

Date: Tue, 18 Oct 2005 13:04:42 GMT

Server: Apache/1.3.33 (Unix)

Keep-Alive: timeout=15, max=98

Connection: Keep-Alive

Transfer-Encoding: chunked

Content-Type: text/html; charset=koi8-r

Здесь может присутствовать дополнительный заголовок Authentication-Info, но мы не будем его рассматривать. Пока Apache не имеет никаких возможностей настройки, позволяющих усилить защиту, используя возможности этого заголовка. Модуль digest_module не использует этот заголовок, а модуль mod_auth_digest эксплуатирует его «фиксированным» образом, не допуская никакой ручной настройки.

К рассмотрению модулей Apache мы перейдём в следующей части этой статьи. А здесь осталось сказать, что далее клиент (браузер) передаёт заголовок Authorization автоматически при каждом обращении к защищённой области. Это очень похоже на basic-авторизацию, но теперь пароль не передаётся в открытом виде, и восстановить его, перехватив заголовок Authorization, практически невозможно.