Wie kann man den Berechtigungsnachweis mit Reich löschen?

StackOverflow https://stackoverflow.com//questions/12707755

Frage

Ich möchte wirklich die Verwendung von realm wissen. http://de.wikipedia.org/wiki/basic_access_authentication sagte

vorhandene Browser behalten Authentifizierungsinformationen bis zur Registerkarte oder Der Browser ist geschlossen oder der Benutzer löscht die Historie. [1] Http tut nicht Geben Sie eine Methode für einen Server an, um Clients zu lenken, um diese zu verwerfen zwischengespeicherte Anmeldeinformationen. Dies bedeutet, dass es keinen effektiven Weg für a gibt Server zum "Abmelden" den Benutzer, ohne den Browser zu schließen oder zu verwenden Sitzungen in der URL.

in meiner Codierung

generasacodicetagpre.

Die Site fordert also die Authentifizierung auf, die auf REALM basiert. Sobald es anfragt, werden Benutzername und Kennwort irgendwo gespeichert, und bis der Browser-Cache- oder Browsing-Verlauf entfernt wird, werden diese Informationen gespeichert.

Meine Frage ist Gibt es eine Möglichkeit, einen solchen Berechtigungsnachweis im Server mit dem Servlet zu löschen? Jede Hilfe wird sehr geschätzt !!!

ref: Was ist die genaue Verwendung von Reichszeit in der Sicherheit? < / a>

War es hilfreich?

Lösung

Der Server hat jemals eine solche Kontrolle über den Browsern.Der einzige sichere Weg, um mit Kontoinformationen umzugehen, um das Konto umgehend zu verwirklichen oder zu sperren, und läuft alle an ihn gebundenen Benutzersitzungen aus.Ein Webserver kann alle derartigen Vorgänge erfüllen.

von der spec :

generasacodicetagpre.

Es bedeutet im Wesentlichen, dass der Browser, wenn Sie einmal erfolgreich authentifiziert haben, sicher annehmen kann, dass alle Ressourcen unter derselben Root-URL mit denselben Anmeldeinformationen zugänglich sind.Es gibt keinen Standard, um ein Client-Timeout auf HTTP-Basisdaten einzulegen.

Andere Tipps

Sie möchten wahrscheinlich einen Blick auf dieses Anwer haben: So erzwingen Sie die Anlegestelle, um nach Anmeldeinformationen mit der grundlegenden Authentifizierung zu fragen, nachdem Sie die Sitzung ungültig erklärt?

Die grundlegende Authentifizierung scheint mir nutzlos zu sein.

Sie möchten, um zur Formularauthentifizierung wechseln, wenn Sie können.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top