Iis 使用401了解基本身份验证
对于web浏览器的基本身份验证,我有点困惑。我原以为web浏览器只有在上一次响应中收到HTTP 401状态后才会发送授权头。然而,Chrome似乎会在此后的每个请求中发送授权标头。它有我曾经输入的数据,以响应我网站上的401,并随每条消息一起发送(根据Chrome和我的Web服务器附带的开发工具)。这是预期的行为吗?是否有一些头我应该使用我的401来推断授权的东西不应该被缓存?我当前正在使用WWW-Authenticate头。来自: 如果事先的请求已获得授权,则 相同的凭证可用于该系统中的所有其他请求 一段时间内的保护空间由 身份验证方案、参数和/或用户首选项 根据我的经验,浏览器自动发送后续请求的基本凭证是很常见的。它可以避免为获得额外资源而进行额外的往返。来自: 如果事先的请求已获得授权,则 相同的凭证可用于该系统中的所有其他请求 一段时间内的保护空间由 身份验证方案、参数和/或用户首选项Iis 使用401了解基本身份验证,iis,http-headers,wcf-data-services,basic-authentication,http-status-code-401,Iis,Http Headers,Wcf Data Services,Basic Authentication,Http Status Code 401,对于web浏览器的基本身份验证,我有点困惑。我原以为web浏览器只有在上一次响应中收到HTTP 401状态后才会发送授权头。然而,Chrome似乎会在此后的每个请求中发送授权标头。它有我曾经输入的数据,以响应我网站上的401,并随每条消息一起发送(根据Chrome和我的Web服务器附带的开发工具)。这是预期的行为吗?是否有一些头我应该使用我的401来推断授权的东西不应该被缓存?我当前正在使用WWW-Authenticate头。来自: 如果事先的请求已获得授权,则 相同的凭证可用于该系统中的所有其
根据我的经验,浏览器自动发送后续请求的基本凭证是很常见的。它可以防止为额外的资源进行额外的往返。这是浏览器的预期行为,如中所定义:
据我所知,基本HTTP身份验证无法执行注销/重新身份验证。这与HTTP基本身份验证缺乏安全性是大多数网站现在使用表单和cookie进行身份验证解决方案的原因。这是浏览器的预期行为,如中所定义:
据我所知,基本HTTP身份验证无法执行注销/重新身份验证。这与HTTP基本身份验证缺乏安全性是大多数网站现在使用表单和cookie进行身份验证解决方案的原因。你是对的。”“注销”在基本身份验证的范围内是毫无意义的,因为每个请求中都会发送安全令牌。本质上,每个HTTP请求都经过单独的身份验证。您可以强制浏览器停止身份验证,例如,请参阅。您是正确的“注销”在基本身份验证的范围内是毫无意义的,因为每个请求中都会发送安全令牌。本质上,每个HTTP请求都经过单独的身份验证。您可以强制浏览器停止身份验证,例如,请参阅。
A client SHOULD assume that all paths at or deeper than the depth of
the last symbolic element in the path field of the Request-URI also
are within the protection space specified by the Basic realm value of
the current challenge. A client MAY preemptively send the
corresponding Authorization header with requests for resources in
that space without receipt of another challenge from the server.
Similarly, when a client sends a request to a proxy, it may reuse a
userid and password in the Proxy-Authorization header field without
receiving another challenge from the proxy server. See section 4 for
security considerations associated with Basic authentication.