百度360必应搜狗淘宝本站头条
vba高级教程svn连接scheduledtaskmybatis plus结构体数组
当前位置:网站首页 > 编程网 > 正文

自定义基本Http身份验证 自定义基本http身份验证是什么

yuyutoo 2024-10-15 17:00 13 浏览 0 评论

我将在此处描述的问题和解决方案是“基本Http身份验证”的基本对话框的解决方法。尝试统一身份验证流程时遇到了这样的问题。像我们大多数人一样,我从浏览互联网开始寻找解决方案,不幸的是,我发现没有一种解决方案适合我的情况。在这里,我想分享我的经验,希望有人会觉得有用。

问题

通常,一个问题是取消基本的http身份验证对话框并显示自定义UI而不是“基本浏览器”对话框,只是为了使跨浏览器具有通用的用户体验。例如,在Chrome,FF或Opera浏览器上输入错误的用户凭据时的用户体验将不同于InternetExplorer和Safari.IE或Safari在几次尝试在服务器上对用户进行身份验证后将取消错误请求(如果是错误的),并且Web应用程序可以显示某些页面,例如“无法访问您的帐户”。Chrome,FF和Opera将无限执行此操作(请求将处于待处理状态),直到用户放弃并按“取消”按钮。另一个问题是在进行基本身份验证的情况下如何注销。

我的实验是围绕Apache服务器的配置进行的,但我认为可以轻松地针对IIS或Nginx进行配置。因为那时一切都围绕基本Http身份验证。

该解决方案通过了IE(10,11),Chrome49,FF44,Opera36的测试。

解决方案

首先,必须要做的是配置Http服务器,在我的例子中是Apache。通常,不需要身份验证的所有静态内容(例如图像,脚本,html)都不需要身份验证。但是对于该解决方案,我们将需要一个经过身份验证的图像(例如)。

我在服务器上创建了一个目录,并在其中放置了小映像并配置了apache,以便需要对资源进行身份验证。

这是名称为“”的目录的配置示例auth_required

Alias		/auth_required	/path/auth_required/
<Location /auth_required>
	Options Indexes
	Order allow,deny
	Allow from all
	Include "/your/path/here/an_auth_config.conf"
</Location>1234567复制代码类型:[javascript]

我为自定义身份验证UI创建了一个免费的身份验证目录。该目录具有一个简单的HTML页面,该页面无法破坏整个门户网站的安全性,并显示简单的身份验证页面。

这是目录身份验证的Apache配置示例。

# Unprotected resources
<Directory /path/auth>
	AuthType None
</Directory>

Alias		/auth			/path/auth
<Location /auth>
	# No Auth
	AuthType None
	#Require all granted
	DirectoryIndex auth_test.html
</Location>123456789101112复制代码类型:[javascript]

这就是我们在服务器端要做的所有事情。

主要技巧是在客户端实现的。

在下面,您将找到带有内联注释的代码示例。该解决方案适用于InternetExplorer,Chrome,FF和Opera,但不幸的是不适用于Safari。

我想如果服务器将在用户凭据错误的情况下提供403代码而不是401代码,那么Safari也可以正常工作。目前,我还没有找到适合Safari的正确方法。

此外,我还有一个开放的问题,即在用户成功通过身份验证时,客户端应在哪里保留用户名,如果下次用户自动将其重定向到主页而不提示身份验证页,客户端应该这样做。现在,我将用户名保留在cookie上,如果不为空,它将触发自动重定向到主页,而无需直接在url上提供用户名和密码。

function doLoad()
{
    //the method will be called on page load and in case 
    //if user previously was authenticated should redirect to main page
    //here we have to get logged in user somehow, probably from cookie or local storage.

    //we always have to provide user name to XMLHttpRequest even if it is not correct, 
    //because in case if user was not logged in before 
    //and we do not provide any user name for XMLHttpRequest.open method 
    //default authentication window will be prompted, but we want to suppress it

    var user = $.cookie('loggedas');
    if (user && user.length > 0)
    {
        authenticate();
    }
}

function doAuthenticate()
{
    //the method have to be called on user click on user credentials form
    var user = $('#useridUIID').val();
    var pswd = $('#pswdUIID').val();

    //it is main trick, default authenticated window will be 
    //prompted until ANY user name (even not correct) will be passed to XMLHttpRequest
    //but it doesn't work for Safari
    user = (user && user.length > 0 ? user : '' + Date.now().getTime())

    authenticate(user, pswd);
}

function authenticate(user, pswd)
{
    var warning = $('div.warning');
    if (!warning.hasClass('hidden'))
    {
        warning.addClass('hidden');
    }

    //path to resource which require authentication
    var img = location.protocol + '//' + location.host + 
    (location.port && location.port.length > 0 ? ':' + 
    location.port : '') + '/auth_required/favicon.ico';

    var xhr = new XMLHttpRequest();
    if (user)
    {
        xhr.open('GET', img, true, user, pswd);
    }
    else
    {
        xhr.open('GET', img, true);
    }

    xhr.onreadystatechange = function (e)
    {
        if (this.status !== 0) //work around for IE
        {
            if (this.status === 200)
            {
                //keep user name, in order to redirect automatically next time
                //from my perspective I dont see any security breach to keep user name at cookies, 
                //if it is not so, here should be another way to automatically redirecting next time
                $.cookie('loggedas', user);

                //redirect to main page
                if (user)
                {
                    try
                    {
                        document.location.href = location.protocol + '//' + 
                        user + ':' + pswd + '@' + location.host + 
                        (location.port && location.port.length > 0 ? ':' + 
                        location.port : '') + '/admin/';
                    }
                    catch (e)
                    {
                        document.location.href = location.protocol + '//' + 
                        location.host + (location.port && location.port.length > 0 ? 
                        ':' + location.port : '') + '/admin/';
                    }
                }
                else
                {
                    document.location.href = location.protocol + '//' + location.host + 
                    (location.port && location.port.length > 0 ? ':' + 
                    location.port : '') + '/admin/';
                }
            }
            else
            {
                //show error in case wrong credentials
                if (warning.hasClass('hidden'))
                {
                    warning.removeClass('hidden');
                }
            }
        }
    };

    xhr.send();
}

$(document).ready(function ()
{
    doLoad();
});123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108复制代码类型:[javascript]

现在,您可以像这样对服务器进行身份验证:

代替默认值:

结论

当然,如果您不想在服务器端实现自定义身份验证,而只使用基本身份验证,那么我所说的一切都会起作用。

另外,我仍然不知道Safari合适的解决方法。而且我没有针对较旧的浏览器进行测试,该解决方案是否适用于它们?

相关推荐

ETCD 故障恢复(etc常见故障)

概述Kubernetes集群外部ETCD节点故障,导致kube-apiserver无法启动。...

在Ubuntu 16.04 LTS服务器上安装FreeRADIUS和Daloradius的方法

FreeRADIUS为AAARadiusLinux下开源解决方案,DaloRadius为图形化web管理工具。...

如何排查服务器被黑客入侵的迹象(黑客 抓取服务器数据)

---排查服务器是否被黑客入侵需要系统性地检查多个关键点,以下是一份详细的排查指南,包含具体命令、工具和应对策略:---###**一、快速初步检查**####1.**检查异常登录记录**...

使用 Fail Ban 日志分析 SSH 攻击行为

通过分析`fail2ban`日志可以识别和应对SSH暴力破解等攻击行为。以下是详细的操作流程和关键分析方法:---###**一、Fail2ban日志位置**Fail2ban的日志路径因系统配置...

《5 个实用技巧,提升你的服务器安全性,避免被黑客盯上!》

服务器的安全性至关重要,特别是在如今网络攻击频繁的情况下。如果你的服务器存在漏洞,黑客可能会利用这些漏洞进行攻击,甚至窃取数据。今天我们就来聊聊5个实用技巧,帮助你提升服务器的安全性,让你的系统更...

聊聊Spring AI Alibaba的YuQueDocumentReader

序本文主要研究一下SpringAIAlibaba的YuQueDocumentReaderYuQueDocumentReader...

Mac Docker环境,利用Canal实现MySQL同步ES

Canal的使用使用docker环境安装mysql、canal、elasticsearch,基于binlog利用canal实现mysql的数据同步到elasticsearch中,并在springboo...

RustDesk:开源远程控制工具的技术架构与全场景部署实战

一、开源远程控制领域的革新者1.1行业痛点与解决方案...

长安汽车一代CS75Plus2020款安装高德地图7.5

不用破解原车机,一代CS75Plus2020款,安装车机版高德地图7.5,有红绿灯读秒!废话不多讲,安装步骤如下:一、在拨号状态输入:在电话拨号界面,输入:*#518200#*(进入安卓设置界面,...

Zookeeper使用详解之常见操作篇(zookeeper ui)

一、Zookeeper的数据结构对于ZooKeeper而言,其存储结构类似于文件系统,也是一个树形目录服务,并通过Key-Value键值对的形式进行数据存储。其中,Key由斜线间隔的路径元素构成。对...

zk源码—4.会话的实现原理一(会话层的基本功能是什么)

大纲1.创建会话...

Zookeeper 可观测性最佳实践(zookeeper能够确保)

Zookeeper介绍ZooKeeper是一个开源的分布式协调服务,用于管理和协调分布式系统中的节点。它提供了一种高效、可靠的方式来解决分布式系统中的常见问题,如数据同步、配置管理、命名服务和集群...

服务器密码错误被锁定怎么解决(服务器密码错几次锁)

#服务器密码错误被锁定解决方案当服务器因多次密码错误导致账户被锁定时,可以按照以下步骤进行排查和解决:##一、确认锁定状态###1.检查账户锁定状态(Linux)```bash#查看账户锁定...

zk基础—4.zk实现分布式功能(分布式zk的使用)

大纲1.zk实现数据发布订阅...

《死神魂魄觉醒》卡死问题终极解决方案:从原理到实战的深度解析

在《死神魂魄觉醒》的斩魄刀交锋中,游戏卡死犹如突现的虚圈屏障,阻断玩家与尸魂界的连接。本文将从技术架构、解决方案、预防策略三个维度,深度剖析卡死问题的成因与应对之策,助力玩家突破次元壁障,畅享灵魂共鸣...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表