|
Действия ...
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
30.09.2008, 13:10
|
|||
|---|---|---|---|
|
|||
Basic деавторизация |
|||
|
#18+
На собственном веб-сервере используем Basic-авторизацию. После того, как сервер отправляет " WWW-Authenticate : Basic realm="Authorize please "" браузер запрашивает логин/пароль, передает серверу header " Authorization : Basic YWxleGV5Ln6jbGNhbjoxMjM0NTY= " и сервер его авторизует. Но теперь нам нужно деавторизовать пользователя. Как это сделать? Хедер Authorization теперь гоняется всегда, при каждом запросе. Ок — снова отправляем браузеру WWW-Authenticate : Basic realm="Authorize please" и что же видим: Firefox после этого в свои запросы уже не включает хедер Authorization, а IExplorer продолжает слать этот заголовок с каждым запросом, после первого же, на стороне сервера опять происходит авторизация! Как убрать header Authorization из запросов IE? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
30.09.2008, 15:28
|
|||
|---|---|---|---|
Basic деавторизация |
|||
|
#18+
не хранится ли данная информация в сессии/куках? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
30.09.2008, 16:40
|
|||
|---|---|---|---|
|
|||
Basic деавторизация |
|||
|
#18+
madgolне хранится ли данная информация в сессии/куках? Нет. Более того - я думал что IE'шный хидер можно убить отправив браузер куку Authorization, но не тут то было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
30.09.2008, 22:24
|
|||
|---|---|---|---|
Basic деавторизация |
|||
|
#18+
Rusher Нет. Более того - я думал что IE'шный хидер можно убить отправив браузер куку Authorization, но не тут то было. тут http://httpd.apache.org/docs/1.3/howto/auth.html#basicfaq пишут что невозможно сделать logout при Basic авторизации. Но я есть какой-то хинт со специальной страницей для пользователя с фиксированным именем/паролем (типа log/out), когда он на нее зайдет то авторизация будет запрошена заново. но пользователю нельзя довать возможность использовать такое имя/пароль ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
30.09.2008, 23:27
|
|||
|---|---|---|---|
Basic деавторизация |
|||
|
#18+
Действительно логаут будет только при выходе из браузера. Некоторые версии браузеров содержат в пункте меню логаут. Вобщем грабли. Подходы есть, но для этого нужно и серверный код немного подгонять. теоретически можно просто запросить повторную авторизацию. Но в опера можно нажать Отменить и останется старая авторизация. Так что лучше не рисковать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
30.09.2008, 23:31
|
|||
|---|---|---|---|
Basic деавторизация |
|||
|
#18+
RusherFirefox после этого в свои запросы уже не включает хедер Authorization, а IExplorer продолжает слать этот заголовок с каждым запросом, после первого же, на стороне сервера опять происходит авторизация! Как убрать header Authorization из запросов IE? А если браузер закрить и снова открыть? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=16&mobile=1&tid=1344982]: |
0ms |
get settings: |
10ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
198ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
49ms |
get tp. blocked users: |
1ms |
| others: | 239ms |
| total: | 530ms |
| 0 / 0 |
