HTTP 401 - ค่าส่วนหัว WWW-Authenticate ที่เหมาะสมคืออะไร

แอปพลิเคชันที่ฉันกำลังดำเนินการอยู่ในขณะนี้มีค่าระยะหมดเวลาของเซสชัน หากผู้ใช้ไม่ได้โต้ตอบนานกว่าค่านี้หน้าถัดไปที่พยายามโหลดผู้ใช้จะได้รับแจ้งให้เข้าสู่ระบบ

คำขอทั้งหมดจะถูกกำหนดเส้นทางผ่านกลไกนี้ซึ่งรวมถึงการโทร AJAX เดิมทีเรากำลังส่งส่วนหัว 200 พร้อมกับหน้าเข้าสู่ระบบซึ่งทำให้เกิดปัญหาบางอย่างกับ AJAX เนื่องจากมีการเรียกใช้โค้ดหากมีการส่งการตอบกลับ 200 ครั้งและข้อมูลส่วนใหญ่ที่ส่งกลับจากการเรียก RPC เหล่านี้คือ JSON หรือ JavaScript ดิบที่ได้รับการประเมิน (อย่า ถาม: |).

ฉันแนะนำว่า 401 ดีกว่าเนื่องจากตัวแยกวิเคราะห์ JSON ของเราจะไม่พยายามใช้หน้าล็อกอิน HTML .. :)

อย่างไรก็ตามเมื่ออ่านสเป็คฉันสังเกตว่าWWW-Authenticateต้องส่งฟิลด์ด้วย

ค่าที่ดีสำหรับสนามนี้คืออะไร? จะApplication Loginพอเพียง?

เมื่อระบุ HTTP Basic Authentication เราจะส่งคืนสิ่งที่ต้องการ:

WWW-Authenticate: Basic realm="myRealm"

ในขณะBasicที่โครงการเป็นอย่างไรและส่วนที่เหลือขึ้นอยู่กับโครงการนั้นมาก ในกรณีนี้ขอบเขตเพียงแค่ให้เบราว์เซอร์เป็นตัวอักษรที่สามารถแสดงต่อผู้ใช้เมื่อพร้อมต์สำหรับ ID ผู้ใช้และรหัสผ่าน

เห็นได้ชัดว่าคุณไม่ได้ใช้ Basic อย่างไรก็ตามเนื่องจากไม่มีจุดที่เซสชันหมดอายุเมื่อใช้ Basic Auth ฉันถือว่าคุณกำลังใช้การตรวจสอบสิทธิ์ตามฟอร์มบางรูปแบบ

จากความทรงจำ Windows Challenge Response ใช้รูปแบบที่แตกต่างกันและอาร์กิวเมนต์ที่แตกต่างกัน

เคล็ดลับคือมันขึ้นอยู่กับเบราว์เซอร์ที่จะกำหนดว่ารองรับโครงร่างอะไรและตอบสนองอย่างไร

ลำไส้ของฉันรู้สึกว่าคุณกำลังใช้การพิสูจน์ตัวตนตามแบบฟอร์มคือการอยู่กับหน้าการเข้าสู่ระบบมากกว่า 200 ครั้ง แต่เพิ่มส่วนหัวที่กำหนดเองซึ่งเบราว์เซอร์จะเพิกเฉย แต่ AJAX ของคุณสามารถระบุได้

สำหรับประสบการณ์ User + AJAX ที่ดีจริง ๆ ให้รับสคริปต์เพื่อเชื่อมต่อกับคำขอ AJAX ที่พบว่าเซสชันหมดอายุเริ่มการร้องขอการเข้าสู่ระบบใหม่ผ่านป๊อปอัปและเมื่อประสบความสำเร็จให้ส่งคำขอ AJAX เดิมอีกครั้งและดำเนินการต่อตามปกติ

หลีกเลี่ยงการโกงที่เพิ่งได้รับสคริปต์ไปยังไซต์ทุกๆ 5 นาทีเพื่อให้เซสชันมีชีวิตอยู่เพราะเพิ่งเอาชนะจุดหมดอายุของเซสชัน

ทางเลือกอื่นคือเบิร์นคำขอ AJAX แต่นั่นเป็นประสบการณ์ของผู้ใช้ที่ไม่ดี

ไม่ได้คุณจะต้องระบุวิธีการตรวจสอบสิทธิ์ที่จะใช้ (โดยทั่วไปคือ "พื้นฐาน") และขอบเขตการตรวจสอบสิทธิ์ โปรดดูhttp://en.wikipedia.org/wiki/Basic_access_authenticationสำหรับคำขอและการตอบกลับตัวอย่าง

นอกจากนี้คุณยังอาจต้องการอ่านRFC 2617 - HTTP รับรองความถูกต้อง: Basic และ Digest ตรวจสอบการเข้าถึง

เมื่อเซสชันผู้ใช้หมดเวลาฉันจะส่งรหัสสถานะ HTTP 204 กลับไป โปรดทราบว่าสถานะ HTTP 204 ไม่มีเนื้อหา ในฝั่งไคลเอ็นต์ฉันทำสิ่งนี้:

xhr.send(null);
if (xhr.status == 204) 
    Reload();
else 
    dropdown.innerHTML = xhr.responseText;

นี่คือฟังก์ชั่น Reload ():

function Reload() {
    var oForm = document.createElement("form");
    document.body.appendChild(oForm);
    oForm.submit();
    }