HTTP 401 - giá trị tiêu đề WWW-Authenticate thích hợp là gì?

Ứng dụng tôi đang làm việc hiện tại có giá trị thời gian chờ của phiên. Nếu người dùng không tương tác lâu hơn giá trị này, trang tiếp theo mà họ cố gắng tải, họ sẽ được nhắc đăng nhập.

Tất cả các yêu cầu được thực hiện đều được định tuyến thông qua cơ chế này, bao gồm các cuộc gọi AJAX. Ban đầu, chúng tôi đang gửi một tiêu đề 200 với trang đăng nhập, trang này giới thiệu một số vấn đề với AJAX vì mã được chạy nếu phản hồi 200 được gửi và hầu hết dữ liệu được gửi lại từ các lệnh gọi RPC này là JSON hoặc JavaScript thô được đánh giá (không hỏi: |).

Tôi đã gợi ý rằng 401 tốt hơn, vì trình phân tích cú pháp JSON của chúng tôi sẽ không cố sử dụng trang đăng nhập HTML .. :)

Tuy nhiên, khi đọc thông số kỹ thuật , tôi nhận thấy rằng WWW-Authenticatetrường cũng phải được gửi.

Giá trị tốt cho lĩnh vực này là gì? Sẽ Application Loginđủ?

Khi chỉ ra Xác thực cơ bản HTTP, chúng tôi trả về một cái gì đó như:

WWW-Authenticate: Basic realm="myRealm"

Trong khi đó Basiclà sơ đồ và phần còn lại phụ thuộc rất nhiều vào sơ đồ đó. Trong trường hợp này, lĩnh vực này chỉ cung cấp cho trình duyệt một ký tự có thể được hiển thị cho người dùng khi nhắc nhập id người dùng và mật khẩu.

Tuy nhiên, rõ ràng là bạn không sử dụng Basic vì không có nghĩa là phiên hết hạn khi sử dụng Basic Auth. Tôi giả sử bạn đang sử dụng một số hình thức xác thực dựa trên Biểu mẫu.

Từ hồi ức, Windows Challenge Response sử dụng một lược đồ khác và các đối số khác nhau.

Bí quyết là tùy thuộc vào trình duyệt để xác định những chương trình mà nó hỗ trợ và cách nó phản ứng với chúng.

Cảm nhận của tôi nếu bạn đang sử dụng xác thực dựa trên biểu mẫu là ở lại với trang đăng nhập lại 200+ nhưng thêm tiêu đề tùy chỉnh mà trình duyệt sẽ bỏ qua nhưng AJAX của bạn có thể xác định.

Để có trải nghiệm Người dùng + AJAX thực sự tốt, hãy sử dụng tập lệnh để tiếp tục yêu cầu AJAX khi phiên đã hết hạn, kích hoạt yêu cầu đăng nhập lại thông qua cửa sổ bật lên và nếu thành công, hãy gửi lại yêu cầu AJAX ban đầu và tiếp tục như bình thường.

Tránh gian lận chỉ khiến tập lệnh truy cập trang web cứ sau 5 phút để giữ cho phiên hoạt động vì điều đó chỉ làm mất điểm hết hạn phiên.

Giải pháp thay thế khác là ghi yêu cầu AJAX nhưng đó là trải nghiệm người dùng kém.

Không, bạn sẽ phải chỉ định phương thức xác thực để sử dụng (thường là "Cơ bản") và lĩnh vực xác thực. Xem http://en.wikipedia.org/wiki/Basic_access_authentication để biết ví dụ về yêu cầu và phản hồi.

Bạn cũng có thể muốn đọc RFC 2617 - Xác thực HTTP: Xác thực truy cập thông báo và cơ bản .

Khi phiên người dùng hết thời gian chờ, tôi gửi lại mã trạng thái HTTP 204. Lưu ý rằng trạng thái HTTP 204 không chứa nội dung. Về phía khách hàng, tôi làm điều này:

xhr.send(null);
if (xhr.status == 204) 
    Reload();
else 
    dropdown.innerHTML = xhr.responseText;

Đây là hàm Nạp lại ():

function Reload() {
    var oForm = document.createElement("form");
    document.body.appendChild(oForm);
    oForm.submit();
    }