Come cancellare le credenziali con il regno?
https://stackoverflow.com//questions/12707755
-
13-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Voglio davvero conoscere l'utilizzo di Realm . http://en.wikipedia.org/wiki/basic_access_authentication ha detto
.I browser esistenti conservano le informazioni di autenticazione fino alla scheda o Il browser è chiuso o l'utente cancella la cronologia. [1] Http not. Fornire un metodo per un server per dire i client per scartare questi credenziali nella cache. Ciò significa che non c'è modo efficace per a server per "disconnettersi" l'utente senza chiudere il browser o usare sessioni nell'URL.
nella mia codifica
res.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
res.setHeader("WWW-Authenticate", "Basic realm=\"Alfresco\"");
Quindi il sito richiede l'autenticazione basata su Realm. Una volta che richiede, il nome utente e la password vengono salvati in qualche parte e fino a quando la cache del browser o la cronologia di navigazione viene rimossa, queste informazioni vengono salvate.
La mia domanda è c'è un modo per cancellare tali credenziali nel server utilizzando Servlet? Qualsiasi aiuto è molto apprezzato !!!
Rif: Qual è l'uso esatto del termine del regno in sicurezza? < / a>
Soluzione
Il server non avrà mai tale livello di controllo sui browser.L'unico modo sicuro per affrontare i dettagli dell'account la perdita è di invalidare tempestivamente o bloccare il conto e scadere tutte le sessioni dell'utente legate ad esso.Un server Web è in grado di realizzare tutte queste operazioni.
Da Spec :
The realm attribute (case-insensitive) is required for all
authentication schemes which issue a challenge. The realm value
(case-sensitive), in combination with the canonical root URL of the
server being accessed, defines the protection space
In sostanza significa che una volta autenticato con successo una volta, il browser può ritenere in sicurezza che tutte le risorse sotto lo stesso URL della radice saranno accessibili utilizzando le stesse credenziali.Non c'è modo standard per impostare un timeout del client sulle credenziali di base HTTP.
Altri suggerimenti
Probabilmente vuoi dare un'occhiata a questo Anwer: Come forzare il molo per chiedere credenziali con autenticazione di base dopo aver invalidato la sessione?
L'autenticazione di base sembra inutile per me.
Si desidera passare all'autenticazione modulo se è possibile.
