HTTP-аутентификация - заголовок WWW-Authenticate - несколько областей
Есть ли у кого-нибудь опыт поддержки нескольких областей в HTTP-аутентификации?
На сайте Microsoft говорится:
Каждый заголовок ответа аутентификации Каждый заголовок ответа аутентификации содержит доступную аутентификацию ...
Есть ли у кого-нибудь опыт поддержки нескольких областей в HTTP-аутентификации?
На сайте Microsoft говорится:
Каждый заголовок ответа аутентификации Каждый заголовок ответа аутентификации содержит доступную аутентификацию ...
Есть ли у кого-нибудь опыт поддержки нескольких областей в HTTP-аутентификации?
На сайте Microsoft говорится:
Каждый заголовок ответа аутентификации содержит доступную аутентификацию Схема и царство. Если несколько схемы аутентификации поддерживаются, сервер возвращает несколько аутентифицировать заголовки ответа. значение области чувствительно к регистру и определяет защитное пространство на прокси или сервер. Например, Заголовок "WWW-Authenticate: Basic Realm = "example" "будет примером заголовка возвращается, когда сервер требуется аутентификация.
Это говорит о том, что различные области веб-сайта могут быть защищены с использованием разных методов аутентификации. Что нас смущает, так это то, как определить, какая область должна быть указана в ответе сервера на запрос клиента.
У кого-нибудь есть примеры того, как работают несколько областей?
1 ответ
Спецификация HTTP допускает наличие нескольких вызовов WWW-Authenticate в ответе либо в пределах одного WWW -Authenticate заголовок или использование нескольких заголовков WWW-Authenticate в одном ответе.
С этим связаны проблемы, описанные в RFC 2617, раздел 4.6. Теоретически клиент должен выбрать самый надежный доступный механизм аутентификации, однако определить, какой из них является самым сильным, не всегда очевидно.
Я никогда не пробовал с несколькими реалмами (и одной и той же схемой, например Basic), но я не знаю ничего, что запрещало бы это. Основная проблема с несколькими областями и одной и той же схемой заключается в том, что браузер, вероятно, будет путаться с точки зрения пользовательского интерфейса, в частности, с какой областью он бросает вызов пользователю.