问题标签 [basic-authentication]

我需要为 ASP.NET Web 应用程序中的用户提供显式注销按钮。我正在使用带有基本身份验证 (SSL) 的 IIS6。我可以重定向到另一个网页，但浏览器使会话保持活动状态。我四处搜索并找到了一种方法，方法是启用一个活动的 x 控件与 IIS 通信并终止会话。我在一个不允许表单身份验证的受限环境中，也不禁止活动 x 控件。有没有其他人有这个要求，你是如何处理的？

好吧，这就是我害怕的。我在网上看到过类似的答案，我希望有人有办法做到这一点。不过，感谢您的时间。我想我可以使用 javascript 来防止像 history.back() 这样的后退按钮

我正在编写 Firefox 扩展程序，并希望获取网站（或当前文档）的基本身份验证信息。

如何在 Firefox 扩展中获取基本身份验证信息？

我想让用户自动重新登录我的 Flex 应用程序，它使用基本身份验证

顺便说一句，我已经注意到这个StackOverflow question，它是相关的，但没有解决注销客户端的问题。

例如，用户 A 登录后，用户 B 进入浏览器，进入登录屏幕（可能在新选项卡中）并登录。

这应该意味着我在 HTTP 标头中发送了用户 B 的凭据，并且由于这些凭据与用户 A 的不同，服务器会记录这一事实并创建一个新的单独会话。

但是，Flex 的 HTTP 代理会捕获标头并实际上忽略这些新凭据。

Flex 确实提供了一种方法来告诉服务器注销，并且 Flex 登录代码可以在每次发送凭据之前调用它，但这似乎是一个丑陋的解决方法。我希望能够做这个客户端。我也可以为基本身份验证使用非标准标头（因为我也控制服务器端身份验证），但这似乎也是一个丑陋的解决方法。

有什么方法可以简单地从 Flex 代码结束客户端的会话？例如，这可以通过 JavaScript 实现。

有没有办法像在 JavaScript 中那样直接在客户端使用 cookie？

我了解某些限制可能是出于安全考虑，但我所有的通信都是与“家庭”服务器进行的，因此应该可以避免这些限制。

它会在重复尝试错误密码后关闭并锁定，和/或它会在重试之间增加滞后吗？还是这取决于您或您的提供商安装了​​哪些模块？谢谢！

使用基本身份验证，如果用户已经登录，浏览器将在随后的 http 请求中包含用户名/密码，前提是它收到包含身份验证质询的 401 响应。用户名/密码通过 Authorization 标头传递。

一旦用户登录，有没有办法强制浏览器始终包含 Authorization 标头？

我要求这样做的原因是我有一个 CGI 应用程序（与为我的动态页面提供服务的主 CGI 应用程序分开）应该使用授权信息（如果存在）但如果它不存在则不应提示它。

谢谢。

感谢这个线程How to download and save a file from Internet using Java? 我知道如何下载文件，现在我的问题是我需要在我正在下载的服务器上进行身份验证。它是一个 subversion 服务器的 http 接口。我需要查看哪个字段？

使用最后一条评论中发布的代码，我得到了这个异常：

谢谢，

我正在尝试使用他们修改后的基本身份验证版本与 bit.ly 的 REST API 进行通信。但是，为了使其正常工作，HttpWebRequest 需要在第一个请求上附加凭据，但是，HttpWebRequest 不会在第一个请求上发送凭据，并且会在发送任何凭据之前等待 401，即使 PreAuthenticate 设置为 true（使用 PreAuthenticate 它将为所有后续请求发送凭据）。

我尝试了以下方法来让 HttpWebRequest 以 bit.ly 要求的方式工作：

(1) 以http://username:password@api.bi.ly/method格式发送请求。

bit.ly 不支持（因为这是基本身份验证的假实现，他们只检查标头）。

(2) 手动将“Authorization”标头注入HttpWebRequest。

在 .Net CF 中不可能，因为 Authorization 标头受到保护，并且任何修改受保护标头值的尝试都会失败并引发 ArgumentException。

(3) 继承另一个类中的HttpWebRequest 或WebRequest 以实现所需的行为。

不可能，因为 HttpWebRequest 类默认注册为 HTTP 和 HTTPS 方案的请求服务。尝试为这些方案注册不同的 WebRequest 后代将失败，因为不允许使用重复的前缀。

所以有人有什么建议吗？

我使用 XMLHttpRequest 和 basic-auth 来访问应用程序接口。密码是临时的，是由其他请求生成的，所以它会在一段时间后过期。

但是浏览器（至少是 Firefox）继续使用旧的，失败并显示登录弹出窗口。如果我通过为带有 X-Requested-By 和错误密码的请求返回 403 来抑制弹出窗口，则 mozilla 永远不会尝试使用新密码（firebug 在请求中显示新密码，服务器接收旧密码）。

可以通过向用户名添加随机“盐”（并在服务器端剥离它）来避免问题，但是有没有更好的方法来强制 XMLHttpRequest 使用提供的密码而不是缓存？

As part of an API I am building, there is a user authentication method which upon success, returns a payload of useful user information, API token, etc.

In writing functional tests for the controller that handles this, I am running in to an issue testing HTTP Basic auth; I have found numerous blogs that mention the following code should be used to spoof headers for an authentication attempt:

The issue is that this has no effect; authenticate_with_http_basic does not see the headers and therefore is returning false even in the presence of valid credentials.

Am I missing something?

Note that the app is frozen to Rails 2.2.2 if that is useful in answering.

我希望这是一件相对简单的事情，并且我的谷歌技能在这种情况下让我失望了。我有一个 BASIC 身份验证受保护的资源，我想让 PHP 对其执行 POST HTTP 请求。

我尝试将Authentication: Basic （加密的 u/p 数据）注入似乎不起作用的标头中 - 所以我想知道Greyskull的力量是否可以提供任何指导。