HTTP Authentication

Compatibilidad

No todos los clientes soportan todos los esquemas de autenticación de forma nativa. Esta matriz muestra qué clientes manejan cada esquema automáticamente, cuáles requieren configuración manual y cuáles no tienen soporte.

← Volver a esquemas Demos en vivo →

Criterios

Nativo: El cliente abre una vista interactiva de autenticación o autoconfigura el parámetro de credencial sin código adicional.
Parcial: El cliente expone una propiedad u opción dedicada para describir las credenciales, pero no detecta ni negocia el esquema automáticamente a partir del reto del servidor.
—: No soportado.

Matriz de compatibilidad

Cliente	Basic RFC 7617	Digest RFC 7616	Bearer RFC 6750	Bearer + Discovery RFC 9728
Chrome Navegador — diálogo nativo de credenciales	Nativo	Nativo	—	—
Firefox Navegador — diálogo nativo de credenciales	Nativo	Nativo	—	—
Safari Navegador — diálogo nativo de credenciales	Nativo	Nativo	—	—
curl Herramienta HTTP de línea de comandos	Parcial	Parcial	Parcial	—
wget Herramienta HTTP de línea de comandos	Parcial	Parcial	—	—
http (HTTPie) Herramienta HTTP de línea de comandos con plugins de auth	Parcial	Parcial	Parcial	—
fetch / XHR API HTTP de JavaScript en el navegador	—	—	—	—
axios Librería HTTP de JavaScript	Parcial	—	—	—
requests Librería HTTP de Python	Parcial	Parcial	—	—
Postman Cliente API con soporte OAuth 2.0	Parcial	Parcial	Parcial	—
Insomnia Cliente API con soporte OAuth 2.0	Parcial	Parcial	Parcial	—
Claude Cliente MCP — Model Context Protocol	—	—	Parcial	Nativo
Perplexity Cliente MCP — Model Context Protocol	—	—	Parcial	Nativo

Cuándo usar cada esquema

Basic

No recomendado

Úsalo solo para herramientas internas, sistemas heredados o cuando HTTPS está garantizado y no hay mejor opción. El amplio soporte de clientes lo hace tentador, pero la contraseña está codificada de forma reversible — trata cada petición como si enviara la contraseña en texto claro.

Digest

Heredado

Mejora sobre Basic pero limitado a entornos donde los navegadores lo gestionan nativamente. El escaso soporte en JavaScript y frameworks modernos lo hace poco práctico para nuevas APIs.

Bearer

Recomendado para APIs

El estándar para APIs modernas. Cualquier cliente que pueda establecer una cabecera de petición funciona. La emisión del token (flujos OAuth 2.0) debe configurarse externamente — usa discovery RFC 9728 si quieres clientes sin configuración previa.

Bearer + Discovery

Moderno · Discovery

Ideal para ecosistemas donde los clientes no pueden preconfigurarse: agentes de IA, servidores MCP y APIs federadas. Una sola respuesta 401 le da al cliente todo lo necesario para descubrir el servidor de autorización y obtener un token.