Аутентификация пользователей на веб-сайтах работает следующим образом: 1

1. При обращении неавторизованного клиента к защищённому ресурсу сервер отсылает HTTP-статус 401 Unauthorized и добавляет заголовок WWW-Authenticate с указанием схемы и параметров аутентификации. 1
2. Браузер при получении такого ответа автоматически показывает диалог ввода имени пользователя и пароля. 1
3. Пользователь вводит детали своей учётной записи. 1
4. Во всех последующих запросах к этому веб-сайту браузер автоматически добавляет HTTP-заголовок Authorization, в котором передаются данные пользователя для аутентификации сервером. 1
5. Сервер аутентифицирует пользователя по данным из этого заголовка. 1
6. Решение о предоставлении доступа (авторизация) производится отдельно на основании роли пользователя, ACL или других данных учётной записи. 1

Ещё один способ аутентификации на основе файлов cookie: 5

1. Пользователь входит в веб-приложение со своими учётными данными. 5
2. Сервер проверяет учётные данные и создаёт сеанс в базе данных. 5
3. Сервер отправляет файл cookie браузеру, включая его в заголовок Set-Cookie. 5 Файл cookie отправляется в виде пары имя-значение и содержит уникальный идентификатор пользователя. 5
4. При входе в веб-приложение браузер получает файл cookie с сервера, сохраняет его и отправляет с каждым последующим запросом, чтобы сервер мог убедиться, что запросы поступают от одного и того пользователя. 5

Ещё один метод — аутентификация на основе токенов: 5

1. Пользователь входит в веб-приложение со своими учётными данными. 5
2. Сервер проверяет учётные данные и отправляет зашифрованный токен в браузер. 5
3. Браузер сохраняет токен и добавляет его в заголовок авторизации будущих запросов. 5