Comment effacer les informations d'identification avec le royaume?
https://stackoverflow.com//questions/12707755
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je veux vraiment connaître l'utilisation de
Les navigateurs existants conservent des informations d'authentification jusqu'à ce que l'onglet ou Le navigateur est fermé ou l'utilisateur efface l'historique. [1] Http ne fait pas Fournissez une méthode pour un serveur pour diriger les clients pour supprimer ces CIDÉDITIONS CACHÉES. Cela signifie qu'il n'y a pas de moyen efficace pour un serveur pour "déconnecter" l'utilisateur sans fermer le navigateur ni utiliser sessions dans l'URL.
dans mon codage
res.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
res.setHeader("WWW-Authenticate", "Basic realm=\"Alfresco\"");
Le site demande donc une authentification basée sur le domaine. Une fois que les demandes informatiques, le nom d'utilisateur et le mot de passe sont enregistrés de quelque part, et jusqu'à ce que le cache de navigateur ou l'historique de navigation soit supprimé, ces informations sont enregistrées.
Ma question est
ref: Quelles sont les utilisations exactes du terme royaume dans la sécurité? < / a>
La solution
Le serveur n'aura jamais un tel niveau de contrôle sur les navigateurs.Le seul moyen sûr de traiter les détails de compte de compte est de invalider ou de verrouiller rapidement le compte et d'expirer toutes les sessions d'utilisateurs liées.Un serveur Web est capable d'accomplir toutes ces opérations.
du SPEC :
The realm attribute (case-insensitive) is required for all
authentication schemes which issue a challenge. The realm value
(case-sensitive), in combination with the canonical root URL of the
server being accessed, defines the protection space
Cela signifie fondamentalement qu'une fois que vous avez authentifié avec succès une fois, le navigateur peut supposer en toute sécurité que toutes les ressources sous la même URL de racine seront accessibles à l'aide des mêmes informations d'identification.Il n'y a pas de moyen standard de définir un délai d'attente du client sur les informations d'identification de base HTTP.
Autres conseils
Vous voulez probablement regarder cet anwer: Comment forcer la jetée à demander des informations d'identification avec authentification de base après invalidation de la session?
L'authentification de base semble inutile pour moi.
Vous voulez basculer pour former l'authentification si vous le pouvez.
