レルムで資格情報を消去する方法

Question

私は本当に realm の使用法を知りたいです。 http://en.wikipedia.org/wiki/basic_access_authentication

既存のブラウザはタブまたはタブになるまで認証情報を保持します。 ブラウザは閉じているか、ユーザーは履歴をクリアします。[1] HTTPはしません サーバーがこれらを廃棄するようにクライアントに指示するためのメソッドを提供する 資格情報をキャッシュしました。これは、効果的な方法がないことを意味します。 ブラウザを閉じたり使用せずにユーザーを「ログアウト」するサーバー URLのセッション

私のコーディングの

res.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
res.setHeader("WWW-Authenticate", "Basic realm=\"Alfresco\"");

.

だからサイトはレルムに基づいて認証を要求します。要求に応じて、ユーザー名とパスワードがどこかに保存され、ブラウザのキャッシュまたは閲覧履歴が削除されるまで、この情報が保存されます。

私の質問はサーブレットを使用してサーバー内の信任状をクリアする方法はありますか？ あらゆる助けが大いに感謝されています!!!

REF： セキュリティ内のレルム語の正確な使用は何ですか？< / a>

Answer 1

サーバーは、ブラウザを制御するレベルの制御を行いません。アカウントの詳細に対処するための唯一の安全な方法は、アカウントを無効にしたりロックしたり、関連付けられたすべてのユーザーセッションを失効させることです。Webサーバーはそのようなすべての操作を実行することができます。

spec ：

   The realm attribute (case-insensitive) is required for all
   authentication schemes which issue a challenge. The realm value
   (case-sensitive), in combination with the canonical root URL of the
   server being accessed, defines the protection space

.

基本的には、一度認証に成功したら、ブラウザは同じルートURLの下のすべてのリソースが同じ認証情報を使用してアクセス可能になると仮定します。HTTP基本認証情報にクライアントタイムアウトを設定する標準的な方法はありません。

Answer 2

あなたはおそらくこのanwerを見たいです。セッションを無効にした後に基本認証で認証情報を要求する方法は？

基本認証は私には役に立たないようです。

できる場合は、認証のフォームに切り替えたい。