Я хочу, чтобы пользователи могли входить в систему через режимы аутентификации HTTP Basic.
Проблема в том, что я также хочу, чтобы они могли снова выходить из системы - как ни странно, браузеры просто не могут поддержите это.
Это считается риском взлома социальных сетей - пользователь оставляет свою машину разблокированной, а браузер открытым, и кто-то другой может легко посещать сайт как они. Обратите внимание, что простого закрытия вкладки браузера недостаточно для сброса токена, поэтому пользователи могут легко его пропустить.
Итак, я придумал обходной путь, но это полная путаница:
1) Перенаправить их на страницу выхода
2) На этой странице запустить сценарий для загрузки ajax другой страницы с фиктивными учетными данными:
$j.ajax({
url: '<%:Url.Action("LogOff401", new { id = random })%>',
type: 'POST',
username: '<%:random%>',
password: '<%:random%>',
success: function () { alert('logged off'); }
});
3) Это всегда должно возвращать 401 в первый раз (чтобы принудительно передать новые учетные данные ), а затем принять только фиктивные учетные данные:
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult LogOff401(string id)
{
// if we've been passed HTTP authorisation
string httpAuth = this.Request.Headers["Authorization"];
if (!string.IsNullOrEmpty(httpAuth) &&
httpAuth.StartsWith("basic", StringComparison.OrdinalIgnoreCase))
{
// build the string we expect - don't allow regular users to pass
byte[] enc = Encoding.UTF8.GetBytes(id + ':' + id);
string expected = "basic " + Convert.ToBase64String(enc);
if (string.Equals(httpAuth, expected, StringComparison.OrdinalIgnoreCase))
{
return Content("You are logged out.");
}
}
// return a request for an HTTP basic auth token, this will cause XmlHttp to pass the new header
this.Response.StatusCode = 401;
this.Response.StatusDescription = "Unauthorized";
this.Response.AppendHeader("WWW-Authenticate", "basic realm=\"My Realm\"");
return Content("Force AJAX component to sent header");
}
4) Теперь случайные строковые учетные данные были приняты и кэшированы браузером вместо этого. Когда они посещают другую страницу, он пытается их использовать, терпит неудачу, а затем запрашивает нужные.
Обратите внимание, что в моих примерах кода используются jQuery и ASP.Net MVC, но то же самое должно быть возможно с любым технологическим стеком. .
В IE6 и выше есть другой способ сделать это:
document.execCommand("ClearAuthenticationCache");
Однако это очищает всю аутентификацию - они выходят из моего сайта и выходят из своей электронной почты.
Есть ли лучший способ сделать это?
Я видел других вопросов по этому поводу, но им уже 2 года - есть ли лучший способ сейчас в IE9, FX4, Chrome и т. Д.?
Если нет лучший способ сделать это можно ли полагаться на эту грязь? Есть ли способ сделать его более надежным?