0

按预期使用以下代码和默认配置(glassfish 3.1.2 中的 HTTP 基本身份验证 + 文件领域),客户端被要求提供凭据。但是,在浏览器中刷新或什至在新选项卡上(即使不允许使用 cookie,也没有存储密码)之后,不再要求客户端重新输入凭据。只有当浏览器关闭并重新打开时,才会再次要求客户端提供凭据。身份验证如何做到这一点?

public class AuthenticateServlet extends HttpServlet {

    protected void processRequest(HttpServletRequest request,
            HttpServletResponse response)
            throws ServletException, IOException {
        response.setContentType("text/html;charset=UTF-8");
        PrintWriter out = response.getWriter();
        try {
            request.authenticate(response);
            out.println("Authenticate Successful");
        } finally {
            request.logout();
            out.close();
        }
    }

[...]

}

问候,

麦克风

-编辑-

这个问题是在尝试使用程序化安全的方法时出现的。在重新启动的客户端浏览器中使用以下代码时,第一个 println 语句会引发 NPE。登录窗口甚至不会出现在客户端浏览器中。但是,当 println - 语句被删除时,登录窗口确实会出现并且登录工作正常。当再次添加 println 语句(并且没有重新启动浏览器)时,它们会被打印出来。我也尝试将 println-Statements 移动到另一个 try/catch - 块中,但这似乎没有什么区别。

    try {
        request.authenticate(response);

        out.println("<p>Principal's name: " + request.getUserPrincipal().getName() + "</p>");     <== NPE
        out.println("<p>is that user in role 'gruppeA': " + request.isUserInRole("a_gruppe") + "</p>");
        out.println("<p>remote User is: " + request.getRemoteUser() + "</p>");
        out.println("Authenticate Successful");
    } catch (ServletException ex) {
        out.println("Login Failed with a ServletException." + ex.getMessage());
        return;
    } finally {
        out.close();
    }

这让我想到了身份验证如何工作以及如何使用它的问题。可能,一旦从浏览器登录,身份验证确实会记住并将该信息存储在服务器中。可能不是。

顺便说一句,我尝试使会话无效。但是,不需要新的登录(这符合我原来的帖子——为了测试——在客户端浏览器中禁用了 cookie)。

4

1 回答 1

1

身份验证凭据缓存在某处,看起来它是基于会话的。您可以检查清除服务器中会话的方法,但您也可以在 /clear 处绑定一些 servlet 并调用 request.getSession().invalidate()

我认为缓存凭据是非常标准的,有时浏览器也会这样做,您的特定用例是什么?

于 2012-07-20T08:43:10.443 回答