17

我已经实现了一个使用基本身份验证(使用 spring security)的 web 服务器。

我在访问 URL 时禁用了默认身份验证入口点(而不是使用 www-authentication 标头响应 401,它只返回 401),目的是防止浏览器显示身份验证弹出窗口。

我可以使用 javascript 代码和 curl 等命令行工具连接到服务器,但是当我使用浏览器(chrome 和 firefox)对其进行测试时,它们只是不发送标头。

curl -v -u user:password localhost:8080/user

GET /user HTTP/1.1
主机:localhost:8080
授权:基本 dXNlcjpwYXNzd29yZA==
用户代理:curl/7.58.0
接受:/

Chrome:版本 71.0.3578.98(官方构建)(64 位)
http://user:password@localhost:8080/user

GET /user HTTP/1.1
主机:localhost:8080
连接:keep-alive
Upgrade-Insecure-Requests:1
用户代理:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/ 71.0.3578.98 Safari/537.36
DNT: 1
接受:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng, / ;q=0.8
Accept-Encoding: gzip, deflate, br 接受语言:en-AU,en;q=0.9,fr-FR;q=0.8,fr;q=0.7,en-GB;q=0.6,en-US;q=0.5

为什么浏览器不发送身份验证标头。

4

2 回答 2

5

通常,浏览器在登录后会获取 Auth-token。后端将有效令牌作为授权部分添加到标头。要使用浏览器操作 HTML 请求,您需要像https://addons.mozilla.org/de/firefox/addon/restclient/这样的插件或像postmanSoapUIhttpiecurl这样的额外工具(包括在许多 linux 发行版中) .

于 2019-02-09T14:10:48.873 回答
1

其实你可以。 在客户端 JavaScript 的帮助下,您可以发送。使用 AJAX 请求。在 xhr 请求参数中传递身份验证令牌。

<script type='text/javascript'>
// define vars
var url = 'https://...';

// ajax call
$.ajax({
    url: url,
    dataType : 'jsonp',
    beforeSend : function(xhr) {
      // set header if JWT is set
      if ($window.sessionStorage.token) {
          xhr.setRequestHeader("Authorization", "Bearer " +  $window.sessionStorage.token);
      }

    },
    error : function() {
      // error handler
    },
    success: function(data) {
        // success handler //can redirect to any route of your wish
    }
});
</script>

PS - 我从 在基于浏览器的应用程序中保存 JWT 的位置以及如何使用它中得到提示

于 2020-03-16T10:23:26.293 回答