|
|
|
Basic деавторизация
|
|||
|---|---|---|---|
|
#18+
На собственном веб-сервере используем Basic-авторизацию. После того, как сервер отправляет " WWW-Authenticate : Basic realm="Authorize please "" браузер запрашивает логин/пароль, передает серверу header " Authorization : Basic YWxleGV5Ln6jbGNhbjoxMjM0NTY= " и сервер его авторизует. Но теперь нам нужно деавторизовать пользователя. Как это сделать? Хедер Authorization теперь гоняется всегда, при каждом запросе. Ок — снова отправляем браузеру WWW-Authenticate : Basic realm="Authorize please" и что же видим: Firefox после этого в свои запросы уже не включает хедер Authorization, а IExplorer продолжает слать этот заголовок с каждым запросом, после первого же, на стороне сервера опять происходит авторизация! Как убрать header Authorization из запросов IE? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2008, 13:10 |
|
||
|
Basic деавторизация
|
|||
|---|---|---|---|
|
#18+
не хранится ли данная информация в сессии/куках? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2008, 15:28 |
|
||
|
Basic деавторизация
|
|||
|---|---|---|---|
|
#18+
madgolне хранится ли данная информация в сессии/куках? Нет. Более того - я думал что IE'шный хидер можно убить отправив браузер куку Authorization, но не тут то было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2008, 16:40 |
|
||
|
Basic деавторизация
|
|||
|---|---|---|---|
|
#18+
Rusher Нет. Более того - я думал что IE'шный хидер можно убить отправив браузер куку Authorization, но не тут то было. тут http://httpd.apache.org/docs/1.3/howto/auth.html#basicfaq пишут что невозможно сделать logout при Basic авторизации. Но я есть какой-то хинт со специальной страницей для пользователя с фиксированным именем/паролем (типа log/out), когда он на нее зайдет то авторизация будет запрошена заново. но пользователю нельзя довать возможность использовать такое имя/пароль ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2008, 22:24 |
|
||
|
Basic деавторизация
|
|||
|---|---|---|---|
|
#18+
Действительно логаут будет только при выходе из браузера. Некоторые версии браузеров содержат в пункте меню логаут. Вобщем грабли. Подходы есть, но для этого нужно и серверный код немного подгонять. теоретически можно просто запросить повторную авторизацию. Но в опера можно нажать Отменить и останется старая авторизация. Так что лучше не рисковать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2008, 23:27 |
|
||
|
Basic деавторизация
|
|||
|---|---|---|---|
|
#18+
RusherFirefox после этого в свои запросы уже не включает хедер Authorization, а IExplorer продолжает слать этот заголовок с каждым запросом, после первого же, на стороне сервера опять происходит авторизация! Как убрать header Authorization из запросов IE? А если браузер закрить и снова открыть? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.09.2008, 23:31 |
|
||
|
|
start [/forum/topic.php?fid=16&fpage=136&tid=1344982]: |
0ms |
get settings: |
5ms |
get forum list: |
11ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
27ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
32ms |
get tp. blocked users: |
1ms |
| others: | 210ms |
| total: | 300ms |
| 0 / 0 |
