407/DENIED and NTLM
Due to the way NTLM authentication over HTTP has been designed by Microsoft, each new TCP connection needs to be denied twice to perform the authentication handshake. Then as long as it's kept alive it won't need any further authentication. Yes, it breaks protocol layering. Yes, it breaks HTTP's statelessness. And yes, it wastes lots of bandwidth (two ~2kb denies for an average-sized 16k object means a whopping 20% overhead in a bad-but-not-unreasonable scenario). For the gory details of how auth is performed, see KnowledgeBase/NTLMAuthGoryDetails
google翻訳:
407 / DENIEDおよびNTLM
HTTP経由のNTLM認証がMicrosoftによって設計されているため、認証ハンドシェイクを実行するために、それぞれ新しいTCP接続を2回拒否する必要があります。それが生きている限り、それ以上の認証は必要ありません。はい、プロトコルの階層化が途絶えます。はい、それはHTTPの無国籍性を破ります。そして、はい、それは多くの帯域幅を浪費します(平均サイズの16kオブジェクトの2〜2kbの拒否は、悪いですが不合理なシナリオでは20%のオーバーヘッドを意味します)。認証がどのように行われるかの詳細については、KnowledgeBase / NTLMAuthGoryDetailsを参照してください。