?

Log in

No account? Create an account

Осенило: выход из HTTP-авторизации

« previous entry | next entry »
апр. 17, 2009 | 12:40 pm

В любой документации вы найдёте утверждение: HTTP-авторизация завершается только с закрытием окна браузера, нет способа сделать из неё корректный выход. Однако, как мне кажется, я только что нашёл достаточно простое решение: set-cookie "Logged out". Если пользователь с такой кукой заходит в наш интерфейс снова, мы ему 401, и вот он, запрос нового пароля. Хороша идейка?

UPD: эксперименты показали, что Firefox вполне успешно "забывает" авторизацию, если ему повторно вернуть 401, а вот MSIE, зараза, не хочет. Итого: надо вести на сервере базу пришедших, и если пришёл MSIE, после выхода повторно того же пользователя не пускать. Увы.

Метки:

Ссылка | Что скажете? | Поделиться

Comments {9}

Тер.НИИ

* * *

from: hatifnaftt
date: апр. 17, 2009 11:05 am (UTC)
Ссылка

А вполне

Свои 5 коп. | Развитие

* * *

from: drunkmaster
date: апр. 17, 2009 11:35 am (UTC)
Ссылка

> В любой документации вы найдёте утверждение: HTTP-авторизация завершается
> только с закрытием окна браузера, нет способа сделать из неё корректный
> выход.
А мужики-то и не знают.

Свои 5 коп. | Развитие

erra

* * *

from: erra
date: апр. 17, 2009 02:27 pm (UTC)
Ссылка

а поподробнее?

Свои 5 коп. | Предыстория | Развитие

* * *

from: drunkmaster
date: апр. 17, 2009 02:37 pm (UTC)
Ссылка

Практически: везде, где надо, есть кнопочка «сменить пользователя». А вообще что такое «выход из HTTP-авторизации»? Если твоё приложение считает, что пользователь авторизован, он авторизован. Если твоё приложение перестало считать, что он авторизован, он перестаёт быть авторизованным.

Свои 5 коп. | Предыстория | Развитие

erra

рекомендую обратить внимание на метку tech

from: erra
date: апр. 17, 2009 05:53 pm (UTC)
Ссылка

Я не готов дискутировать с дилетантами

Свои 5 коп. | Предыстория | Развитие

*пожав плечами*

from: drunkmaster
date: апр. 17, 2009 05:55 pm (UTC)
Ссылка

А по делу?

Свои 5 коп. | Предыстория | Развитие

erra

Re: *пожав плечами*

from: erra
date: апр. 17, 2009 06:23 pm (UTC)
Ссылка

RTFM

Свои 5 коп. | Предыстория | Развитие

а, ну, понял тебя

from: drunkmaster
date: апр. 18, 2009 07:08 am (UTC)
Ссылка

Браузер посылает логин/пароль, даже когда его не просят. И если по какой-то причине сессия истечёт раньше, чем будет закрыт браузер, получится автоматический логин. Способов избежать этого масса. Лучший из них — не пользоваться хттп-аутентификацией, потому как сделана она уёбищно :+)
Один из удачных костылей был описан где-то как раз по твоему линку. Редиректить юзера на адрес вида http://<несуществующий юзер>:@сервер/файл

Свои 5 коп. | Предыстория | Развитие

erra

левел ап

from: erra
date: апр. 18, 2009 09:08 am (UTC)
Ссылка

как я уже говорил, советы дилетантов мне не нужны.

Свои 5 коп. | Предыстория | Развитие