April 17th, 2009

ski

Осенило: выход из HTTP-авторизации

В любой документации вы найдёте утверждение: HTTP-авторизация завершается только с закрытием окна браузера, нет способа сделать из неё корректный выход. Однако, как мне кажется, я только что нашёл достаточно простое решение: set-cookie "Logged out". Если пользователь с такой кукой заходит в наш интерфейс снова, мы ему 401, и вот он, запрос нового пароля. Хороша идейка?

UPD: эксперименты показали, что Firefox вполне успешно "забывает" авторизацию, если ему повторно вернуть 401, а вот MSIE, зараза, не хочет. Итого: надо вести на сервере базу пришедших, и если пришёл MSIE, после выхода повторно того же пользователя не пускать. Увы.