HTTP プロトコルには、認証メカニズムがあります。サーバーは、保護されたリソースに対する未承認リクエストを受け取ると、401 レスポンスステータスコードとともに WWW 認証ヘッダを返します。この認証ヘッダは、保護されたリソースにアクセスするために必要な認証スキームを示します。次回のリクエストでは、適切な承認ヘッダでリクエストを再実行する必要があります。HTTP プロキシを使用すると、プロキシ認証ヘッダーとプロキシ承認ヘッダーを使用する認証レイヤーを同様に追加することもできます。

標準の HTTP 認証スキームの 1 つに、HTTP 基本認証があります。HTTP 基本認証では、Web サイトの一部である保護ドメイン内の情報にアクセスするために、ユーザーからのすべてのリソース要求に、有効なユーザー名とパスワードを含める必要があります。要求ごとに再認証を行わないようにするには、要求ごとに入力できるよう、HTTP クライアント (Web ブラウザ) がユーザー名とパスワードを保存します。

ただし、HTTP サーバーは、ユーザー名とパスワードをクリアするようブラウザに強制できません。ユーザー名とパスワードは、クライアント側で保護ドメインごとにキャッシュされているからです。そのため、HTTP サーバーは、再認証を強制できません。シングルサインオンツールなどの代替認証メカニズムを使用することによって、この制限に対処できます。