0

我最近尝试访问始终需要身份验证的站点(AEM 作者服务器)。我试图在浏览器地址栏中的 URL 中使用基本身份验证,如下所示: http://admin:admin@localhost:4502/

但是当我尝试这样做时,我得到了以下安全确认(在 Firefox 38.0.1 中): 在此处输入图像描述

单击“是”将我带到未经身份验证的登录页面,似乎忽略了我发送的基本身份验证凭据。以下问题(及其评论)帮助我理解这是因为 AEM 作者服务器没有要求身份验证凭据——它没有发送 WWW-Authenticate HTTP 响应标头:

因此,浏览器实际上并没有发送我放在地址栏中的基本身份验证凭据。

所以这让我质疑为什么总是需要身份验证的 AEM 作者服务器不发送 HTTP WWW-Authenticate 标头。但这引出了一个更大的问题:

对于始终需要身份验证的站点,期望该站点始终发送 WWW-Authenticate 响应标头是否合理,或者即使确实需要身份验证,是否有正当理由不包含此标头?

4

1 回答 1

0

应用程序可能实现和需要不同类型的身份验证。AEM 不需要基本身份验证(aem felix 控制台除外)。您不能期望您将使用不受支持、不需要或当前未配置的身份验证方法直接登录。这就是浏览器通知您此页面不需要身份验证的原因。AEM 使用带有用户名和密码的表单的 html 页面,并且身份验证请求被发送到 sling 进一步处理它的后端。在cq basicssling authentification文档中阅读有关此主题的更多信息。

于 2015-06-01T09:49:50.267 回答