我正在使用 CakePHP 创建一个简单的应用程序,我决定使用 Digest Authenticate,因为我无法获得 SSL 证书并且不希望通过表单以纯文本形式发布密码。
所以一切都很好,登录,注销,一切都根据登录状态进行。但是,当我再次登录时注销后,它会自动登录而无需输入密码或用户名。这使得在我退出一段时间(一天左右?)之前无法更改帐户,并且它再次要求输入用户名和密码。如果我使用公共计算机并且不希望下一个人在没有密码提示的情况下随意登录我的帐户,这也是一个安全风险。
我的问题是,Cake 中是否有我遗漏的设置,或者这是我的浏览器会记住我的凭据并在应用程序要求时提供它们。我觉得注销应该清除凭据。我在 Chrome 和 Firefox 中都试过,结果相同,我也没有检查任何“记住我的密码”框。
我的身份验证组件启动:
public $components = array('Session', 'RequestHandler', 'Auth' => array(
'authenticate' => array('Digest'),
'loginRedirect' => array('controller' => 'posts', 'action' => 'index'),
'logoutRedirect' => array('controller' => 'posts', 'action' => 'index'),
));
登录功能:
public function login() {
//No longer Auth Magic
if ($this->Auth->login()) {
return $this->redirect(array('controller' => 'posts', 'action' => 'index'));
} else {
$this->Session->setFlash(__('Username or password is incorrect'), 'default', array(), 'auth');
}
$this->autoRender = false;
}
注销功能:
public function logout() {
$this->Auth->logout();
return $this->redirect($this->Auth->logout());
}
那么有什么想法吗?我应该提到的唯一另一件事是我必须手动包含 DigestAuthenticate.php 才能使用 DigestAuthenticate::password 函数,Cake 抛出一些错误,说 DigestAuthenticate 类不存在。在此处查看问题:http: //ask.cakephp.org/questions/view/digestauthenticate