¿Cómo borrar la credencial con Reino?
https://stackoverflow.com//questions/12707755
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tengo muchas ganas de conocer el uso de realm . http://en.wikipedia.org/wiki/basic_access_authentication dijo
Los navegadores existentes conservan la información de autenticación hasta la pestaña o El navegador está cerrado o el usuario borra la historia. [1] Http no proporcionar un método para un servidor para dirigir a los clientes para descartar estos credenciales en caché. Esto significa que no hay una manera efectiva para un Servidor para "cerrar sesión" al usuario sin cerrar el navegador o usar Sesiones en la URL.
en mi codificación
res.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
res.setHeader("WWW-Authenticate", "Basic realm=\"Alfresco\"");
Por lo tanto, el sitio solicita la autenticación basada en el reino. Una vez que solicite, se guarda el nombre de usuario y la contraseña en alguna parte, y hasta que se elimine la memoria caché del navegador o el historial de navegación, esta información se guarda.
Mi pregunta es ¿Hay alguna manera de borrar dicha credencial en el servidor usando servlet? Cualquier ayuda es muy apreciada !!!
REF: ¿Cuáles son los usos exactos del término de reino en seguridad? < / a>
Solución
El servidor no tendrá tal nivel de control sobre los navegadores.La única forma segura de tratar con los detalles de la cuenta Las fugas es invalidar o bloquear rápidamente la cuenta y expirar a todas las sesiones de usuario atadas.Un servidor web es capaz de realizar todas estas operaciones.
de la especificaciones :
The realm attribute (case-insensitive) is required for all
authentication schemes which issue a challenge. The realm value
(case-sensitive), in combination with the canonical root URL of the
server being accessed, defines the protection space
Básicamente significa que una vez que haya autenticado con éxito una vez, el navegador puede asumir de manera segura que todos los recursos en la misma URL raíz serán accesibles utilizando las mismas credenciales.No hay una forma estándar de establecer un tiempo de espera de cliente en las credenciales básicas HTTP.
Otros consejos
Probablemente desee echar un vistazo a este ANWER: ¿Cómo forzar el embarcadero para solicitar credenciales con la autenticación básica después de invalidar la sesión?
La autenticación básica parece inútil para mí.
Usted desea cambiar a la autenticación de formulario si puede.
