百度360必应搜狗淘宝本站头条
vba高级教程svn连接scheduledtaskmybatis plus结构体数组
当前位置:网站首页 > 编程网 > 正文

自定义基本Http身份验证 自定义基本http身份验证是什么

yuyutoo 2024-10-15 17:00 16 浏览 0 评论

我将在此处描述的问题和解决方案是“基本Http身份验证”的基本对话框的解决方法。尝试统一身份验证流程时遇到了这样的问题。像我们大多数人一样,我从浏览互联网开始寻找解决方案,不幸的是,我发现没有一种解决方案适合我的情况。在这里,我想分享我的经验,希望有人会觉得有用。

问题

通常,一个问题是取消基本的http身份验证对话框并显示自定义UI而不是“基本浏览器”对话框,只是为了使跨浏览器具有通用的用户体验。例如,在Chrome,FF或Opera浏览器上输入错误的用户凭据时的用户体验将不同于InternetExplorer和Safari.IE或Safari在几次尝试在服务器上对用户进行身份验证后将取消错误请求(如果是错误的),并且Web应用程序可以显示某些页面,例如“无法访问您的帐户”。Chrome,FF和Opera将无限执行此操作(请求将处于待处理状态),直到用户放弃并按“取消”按钮。另一个问题是在进行基本身份验证的情况下如何注销。

我的实验是围绕Apache服务器的配置进行的,但我认为可以轻松地针对IIS或Nginx进行配置。因为那时一切都围绕基本Http身份验证。

该解决方案通过了IE(10,11),Chrome49,FF44,Opera36的测试。

解决方案

首先,必须要做的是配置Http服务器,在我的例子中是Apache。通常,不需要身份验证的所有静态内容(例如图像,脚本,html)都不需要身份验证。但是对于该解决方案,我们将需要一个经过身份验证的图像(例如)。

我在服务器上创建了一个目录,并在其中放置了小映像并配置了apache,以便需要对资源进行身份验证。

这是名称为“”的目录的配置示例auth_required

Alias		/auth_required	/path/auth_required/
<Location /auth_required>
	Options Indexes
	Order allow,deny
	Allow from all
	Include "/your/path/here/an_auth_config.conf"
</Location>1234567复制代码类型:[javascript]

我为自定义身份验证UI创建了一个免费的身份验证目录。该目录具有一个简单的HTML页面,该页面无法破坏整个门户网站的安全性,并显示简单的身份验证页面。

这是目录身份验证的Apache配置示例。

# Unprotected resources
<Directory /path/auth>
	AuthType None
</Directory>

Alias		/auth			/path/auth
<Location /auth>
	# No Auth
	AuthType None
	#Require all granted
	DirectoryIndex auth_test.html
</Location>123456789101112复制代码类型:[javascript]

这就是我们在服务器端要做的所有事情。

主要技巧是在客户端实现的。

在下面,您将找到带有内联注释的代码示例。该解决方案适用于InternetExplorer,Chrome,FF和Opera,但不幸的是不适用于Safari。

我想如果服务器将在用户凭据错误的情况下提供403代码而不是401代码,那么Safari也可以正常工作。目前,我还没有找到适合Safari的正确方法。

此外,我还有一个开放的问题,即在用户成功通过身份验证时,客户端应在哪里保留用户名,如果下次用户自动将其重定向到主页而不提示身份验证页,客户端应该这样做。现在,我将用户名保留在cookie上,如果不为空,它将触发自动重定向到主页,而无需直接在url上提供用户名和密码。

function doLoad()
{
    //the method will be called on page load and in case 
    //if user previously was authenticated should redirect to main page
    //here we have to get logged in user somehow, probably from cookie or local storage.

    //we always have to provide user name to XMLHttpRequest even if it is not correct, 
    //because in case if user was not logged in before 
    //and we do not provide any user name for XMLHttpRequest.open method 
    //default authentication window will be prompted, but we want to suppress it

    var user = $.cookie('loggedas');
    if (user && user.length > 0)
    {
        authenticate();
    }
}

function doAuthenticate()
{
    //the method have to be called on user click on user credentials form
    var user = $('#useridUIID').val();
    var pswd = $('#pswdUIID').val();

    //it is main trick, default authenticated window will be 
    //prompted until ANY user name (even not correct) will be passed to XMLHttpRequest
    //but it doesn't work for Safari
    user = (user && user.length > 0 ? user : '' + Date.now().getTime())

    authenticate(user, pswd);
}

function authenticate(user, pswd)
{
    var warning = $('div.warning');
    if (!warning.hasClass('hidden'))
    {
        warning.addClass('hidden');
    }

    //path to resource which require authentication
    var img = location.protocol + '//' + location.host + 
    (location.port && location.port.length > 0 ? ':' + 
    location.port : '') + '/auth_required/favicon.ico';

    var xhr = new XMLHttpRequest();
    if (user)
    {
        xhr.open('GET', img, true, user, pswd);
    }
    else
    {
        xhr.open('GET', img, true);
    }

    xhr.onreadystatechange = function (e)
    {
        if (this.status !== 0) //work around for IE
        {
            if (this.status === 200)
            {
                //keep user name, in order to redirect automatically next time
                //from my perspective I dont see any security breach to keep user name at cookies, 
                //if it is not so, here should be another way to automatically redirecting next time
                $.cookie('loggedas', user);

                //redirect to main page
                if (user)
                {
                    try
                    {
                        document.location.href = location.protocol + '//' + 
                        user + ':' + pswd + '@' + location.host + 
                        (location.port && location.port.length > 0 ? ':' + 
                        location.port : '') + '/admin/';
                    }
                    catch (e)
                    {
                        document.location.href = location.protocol + '//' + 
                        location.host + (location.port && location.port.length > 0 ? 
                        ':' + location.port : '') + '/admin/';
                    }
                }
                else
                {
                    document.location.href = location.protocol + '//' + location.host + 
                    (location.port && location.port.length > 0 ? ':' + 
                    location.port : '') + '/admin/';
                }
            }
            else
            {
                //show error in case wrong credentials
                if (warning.hasClass('hidden'))
                {
                    warning.removeClass('hidden');
                }
            }
        }
    };

    xhr.send();
}

$(document).ready(function ()
{
    doLoad();
});123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108复制代码类型:[javascript]

现在,您可以像这样对服务器进行身份验证:

代替默认值:

结论

当然,如果您不想在服务器端实现自定义身份验证,而只使用基本身份验证,那么我所说的一切都会起作用。

另外,我仍然不知道Safari合适的解决方法。而且我没有针对较旧的浏览器进行测试,该解决方案是否适用于它们?

相关推荐

Python操作Word文档神器:python-docx库从入门到精通

Python操作Word文档神器:python-docx库从入门到精通动动小手,点击关注...

Python 函数调用从入门到精通:超详细定义解析与实战指南 附案例

一、函数基础:定义与调用的核心逻辑定义:函数是将重复或相关的代码块封装成可复用的单元,通过函数名和参数实现特定功能。它是Python模块化编程的基础,能提高代码复用性和可读性。定义语法:...

等这么长时间Python背记手册终于来了,入门到精通(视频400集)

本文毫无套路!真诚分享!前言:无论是学习任何一门语言,基础知识一定要扎实,基础功非常的重要,找一个有丰富编程经验的老师或者师兄带着你会少走很多弯路,你的进步速度也会快很多,无论我们学习的目的是什么,...

图解Python编程:从入门到精通系列教程(附全套速查表)

引言本系列教程展开讲解Python编程语言,Python是一门开源免费、通用型的脚本编程语言,它上手简单,功能强大,它也是互联网最热门的编程语言之一。Python生态丰富,库(模块)极其丰富,这使...

Python入门教程(非常详细)从零基础入门到精通,看完这一篇就够

本书是Python经典实例解析,采用基于实例的方法编写,每个实例都会解决具体的问题和难题。主要内容有:数字、字符串和元组,语句与语法,函数定义,列表、集、字典,用户输入和输出等内置数据结构,类和对象,...

Python函数全解析:从入门到精通,一文搞定!

1.为什么要用函数?函数的作用:封装代码,提高复用性,减少重复,提高可读性。...

Python中的单例模式:从入门到精通

Python中的单例模式:从入门到精通引言单例模式是一种常用的软件设计模式,它保证了一个类只有一个实例,并提供一个全局访问点。这种模式通常用于那些需要频繁创建和销毁的对象,比如日志对象、线程池、缓存等...

【Python王者归来】手把手教你,Python从入门到精通!

用800个程序实例、5万行代码手把手教你,Python从入门到精通!...

Python从零基础入门到精通:一个月就够了

如果想从零基础到入门,能够全职学习(自学),那么一个月足够了。...

Python 从入门到精通:一个月就够了

要知道,一个月是一段很长的时间。如果每天坚持用6-7小时来做一件事,你会有意想不到的收获。作为初学者,第一个月的月目标应该是这样的:熟悉基本概念(变量,条件,列表,循环,函数)练习超过30个编...

Python零基础到精通,这8个入门技巧让你少走弯路,7天速通编程!

Python学习就像玩积木,从最基础的块开始,一步步搭建出复杂的作品。我记得刚开始学Python时也是一头雾水,走了不少弯路。现在回头看,其实掌握几个核心概念,就能快速入门这门编程语言。来聊聊怎么用最...

神仙级python入门教程(非常详细),从0到精通,从看这篇开始!

python入门虽然简单,很多新手依然卡在基础安装阶段,大部分教程对一些基础内容都是一带而过,好多新手朋友,对一些基础知识常常一知半解,需要在网上查询很久。...

Python类从入门到精通,一篇就够!

一、Python类是什么?大家在生活中应该都见过汽车吧,每一辆真实存在、能在路上跑的汽车,都可以看作是一个“对象”。那这些汽车是怎么生产出来的呢?其实,在生产之前,汽车公司都会先设计一个详细的蓝图...

学习Python从入门到精通:30天足够了,这才是python基础的天花板

当年2w买的全套python教程用不着了,现在送给有缘人,不要钱,一个月教你从入门到精通1、本套视频共487集,本套视频共分4季...

30天Python 入门到精通(3天学会python)

以下是一个为期30天的Python入门到精通学习课程,专为零基础新手设计。课程从基础语法开始,逐步深入到面向对象编程、数据处理,最后实现运行简单的大语言模型(如基于HuggingFace...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表