代码之家  ›  专栏  ›  技术社区  ›  Luca Matteis

HTTP身份验证-如何使用户覆盖身份验证数据?

authentication http
  •  0
  • Luca Matteis  · 技术社区  · 14 年前

    我知道我无法注销HTTP身份验证。

    覆盖整个 Location: http://logout:byebye@yourserver.example.com/ 除了IE,这种方法在大多数浏览器上都有效。

    不过,我想知道是否可以让用户覆盖身份验证数据。

    假设用户在浏览器中有一些身份验证数据,现在他们转到我的/注销页面,然后它返回401头,这样身份验证窗口就会弹出,并且他们可以覆盖它。

    然而 ,当他们单击OK(auth数据现在在浏览器中被覆盖)时,/logout页面将重新加载,我无法 验证 新数据,因为我单击“确定”后页面将重新加载,它将再次运行auth头,并再次显示弹出窗口。

    所以,基本上,如果浏览器中已经设置了一些数据,我如何验证HTTP认证数据?

    1 回复  |  直到 14 年前
        1
  •  1
  •   bobince    14 年前

    当他们单击OK(auth数据现在在浏览器中被覆盖)时,/logout页面会重新加载,我无法验证新数据。

    您只需对提交的数据进行反向验证:如果用户提供了正确的身份验证,则返回401响应;如果用户提供了错误的身份验证或没有身份验证,则返回200或302以指示新的错误/没有身份验证已被接受。然后,浏览器将继续为将来的请求使用bad/no auth。

    添加一些类似于__的说明,单击此处,然后输入无用户名或密码,然后单击OK_,如果HTTP基本身份验证的注销功能稍显亮丽,那么您就拥有了一个可行的功能。

    (假设您自己从脚本中吐出auth头,这很容易;如果您使用Web服务器的身份验证处理功能,则通常不可能提取这些头。)

    推荐文章
    Manav Kushwaha  ·  凭据身份验证无法在NextJs应用程序路由器中使用NextAuth执行
    1 年前
    gametaker1985  ·  致命错误:无法在/home/claymati/public_html/login中的写入上下文中使用函数返回值。php第28行
    2 年前
    Svetoslav Stoyanov  ·  AzerothCore无法连接到服务器,可能是客户端发送的WorldSocket请求格式错误
    2 年前
    dippynark  ·  是否可以使用与apiserver请求关联的“extra”属性与RBAC做出授权决策?
    6 年前
    data_henrik  ·  如何将Python OpenID Connect模块与IBM云应用程序ID一起使用?
    6 年前
    drewrockshard  ·  将密码与本地文件名匹配
    6 年前
    Bassie  ·  我的凭据存储在哪里?
    6 年前
    Marc  ·  getAuthEntity失败“无法匹配预期类型”
    6 年前
    J. Hesters  ·  Django Rest框架:我应该使用什么进行身份验证?我应该如何使用它?
    6 年前
    vikash vishnu  ·  任何可用插件都不支持身份验证方法“caching\u sha2\u password”
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号