为什么要base64对授权头进行编码？

Question

Twitter需要发送授权头，即将API密钥与API秘密密钥连接在一起的base64编码。在Node中，我使用：

var base64 = new Buffer(apiKey + ':' + apiSecret).toString('base64');

发送的标题变为：

Authorization: 'Basic ' + base64

base64编码字符串“apiKeyHere:apiKeyHere”的意义是什么？为什么不接受包含原始api凭据的授权头呢？

这个问题类似于base 64编码的目的是什么?为什么在HTTP基本身份验证中使用它？，但投票的答案并没有完全回答我的问题。Twitter的api密钥和api密钥已经是HTTP兼容的字符。它们看起来像这样(这些不是真的)：

消费者密钥(API密钥) 8dme3utVQfOhlPk5BUG9XbFxR

消费者秘密(API秘密) QFZXoC7MP72JZtGMBNpjLGI4Vl1xr1q9dyPLp3u7jGtkESpbLm

那么为什么base64会对它进行编码呢？此外，post声明“编码的目的是将用户名或密码中可能包含的非HTTP兼容字符编码到与HTTP兼容的字符中。”用户名和密码不是已经是HTTP兼容的字符了吗？

Answer 1

尽管我在w3文档中找不到它，但我相信，无论它有什么内容，将授权头的凭据编码到base64只是一种协议。就Twitter而言，这并没有什么不同，但在其他情况下，凭据可以包含这些字符。为了保持统一和防止是否应该编码的错误，所有凭据都应该进行编码。

另一个原因可能是，浏览器也以同样的方式对凭证进行编码。Twitter可能也想接受这一点。

Answer 2

基本身份验证方案在RFC7617 (和旧RFC2617)中进行了描述。

这是向服务器发送密码凭据的标准方法。base64编码用于编码凭据，以允许发送非HTTP字符和多字节字符串。

Answer 3

默认情况下，Hypertext Transfer Protocol (HTTP)消息中的消息头字段参数不能携带ISO-8859-1字符集以外的字符。

如果用户名和密码包含不兼容的字符集，HTTP将无法携带这些文本。为了防止出现这种情况，我们使用base64对用户名和密码进行编码，以确保在 HTTP 上发送与HTTP兼容的字符。有关更多信息，请参见此身份验证