Tag: basic authentication

为什么浏览器在经过validation的XMLHttpRequest之后不重复使用授权标头?

我正在开发使用Angular的单页面应用程序。 后端公开了需要基本身份validation的REST服务。 获取index.html或任何脚本不需要身份validation。 我有一个奇怪的情况,其中我的一个视图有一个<img>其中src是需要身份validation的REST API的URL。 <img>是由浏览器处理的,我没有机会为它所做的GET请求设置授权头。 这会导致浏览器提示input凭据。 我试图通过这样做来解决这个问题: 在源代码中将img src留空 在“文档准备好”时,使用授权标头对服务( /api/login )进行XMLHttpRequest ,以使authentication发生。 在完成这个调用后,设置img src属性,认为到那时,浏览器将知道在随后的请求中包括授权标题… …但它不。 对图像的请求不带标题。 如果我input凭据,那么页面上的所有其他图像是正确的。 (我也试过和Angular的ng-src但是产生了相同的结果) 我有两个问题: 为什么浏览器(IE10)在成功的XMLHttpRequest之后在所有请求中包含头文件? 我能做些什么来解决这个问题? @bergi询问了请求的详细信息。 他们来了。 请求/ api /login GET https://myserver/dev30281_WebServices/api/login HTTP/1.1 Accept: */* Authorization: Basic <header here> Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/6.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; […]

APIdevise:HTTP基本authentication与API令牌

我目前正在为Web应用程序的公共Web API创build一个身份validation系统。 鉴于每个用户帐户都有一个API密钥,并且每个请求都必须经过validation,所以我有两个select: 使用HTTP基本authentication, 就像GitHub一样 。 请求必须发送到URL http://api.example.com/resource/id with basic authentication username: token password: the api key 传递API令牌作为查询string参数。 请求必须发送到URL http://api.example.com/resource/id?token=api_key 还有第三个选项是在URI中传递令牌,但我真的不喜欢这个解决scheme。 你会采用哪种解决scheme,为什么?

先用Apache HttpClient 4进行基本身份validation

有没有一种更简单的方法来设置HTTP客户端抢先基本authentication比这里描述的? 在以前的版本(3.x)中,它曾经是一个简单的方法调用(例如, httpClient.getParams().setAuthenticationPreemptive(true) )。 我想避免的主要事情是将BasicHttpContext添加到我执行的每个方法。

基本的HTTP和承载令牌authentication

我目前正在开发一个REST-API,它是HTTP-Basic保护的开发环境。 由于真正的身份validation是通过令牌来完成的,我仍然试图弄清楚,如何发送两个授权头。 我试过这个: curl -i http://dev.myapp.com/api/users \ -H "Authorization: Basic Ym9zY236Ym9zY28=" \ -H "Authorization: Bearer mytoken123" 我可以例如禁用我的IP的HTTP身份validation,但由于我通常在不同的dynamicIP环境下工作,这不是一个好的解决scheme。 所以我错过了什么?

摘要和基本身份validation有什么区别?

摘要和基本身份validation有什么区别?

基本authentication中的“领域”是什么?

我设置了一个PHP网站的基本身份validation,发现这个页面上的PHP手册显示设置。 标题中的“领域”是什么意思? header('WWW-Authenticate: Basic realm="My Realm"'); 这是页面被请求?

ASP.NET MVC – HTTP身份validation提示

是否有可能使我的应用程序要求提供用户名和密码之前渲染视图? 就像在Twitter API获取有关您的帐户的信息: http://twitter.com/account/verify_credentials.xml 所以在渲染视图||之前 文件它要求你插入你的用户名和密码,我认为这是直接在服务器上,因为curl请求是基于用户名:密码以及如下所示: curl -u user:password http://twitter.com/account/verify_credentials.xml 正如我试图build立一个API遵循相同的结构,我想知道如何在ASP.NET MVC C#上做到这一点。 我已经在ruby on rails上使用它,它非常简单,如: before_filter :authenticate def authenticate authenticate_or_request_with_http_basic do |username, password| username == "foo" && password == "bar" end 我不认为[Authorize]filter是相同的,因为我相信这只是一个redirect,它会将您redirect到基于帐户数据库的Accounts Internal Controller,在这种情况下,我将使用另一个数据库, web服务,并提交信息后进行validation。 但是,我需要采取行动来要求用户,并根据请求传递凭据。 提前致谢 更新: 其实要请求一个页面,需要这个authentication(即Twitter),我将不得不根据其要求宣布这一点 request.Credentials = new NetworkCredential("username", "password"); 这将反映提示的用户名和密码。 所以,从另一方面来说,这是完全一样的,如果可以根据请求向authentication提示信息提供信息,那么我怎么会要求这个authentication呢? 所以每次有人试图向我的应用程序请求例如: HTTP://为MyApplication /客户/ verify_credentials 它应该要求一个用户名和密码与该服务器提示,以检索curl的信息,例如它会是这样的 curl -u user:password […]

http基本authentication“注销”

存储HTTP基本authentication凭证,直到浏览器closures,但有没有办法在浏览器closures之前删除凭证? 我阅读了关于HTTP 401状态码的技巧 ,但它似乎工作不正常 (见评论回答)。 也许机制trac使用的是解决scheme 。 凭证可以用JavaScript删除吗? 或者结合使用JavaScript和401状态技巧?

用于HTTP基本authentication的纯JavaScript代码?

我在哪里可以find在纯JavaScript中实现HTTP基本authentication客户端的参考代码,适合AJAX? 可以独立于JS工具包(如YUI)使用的代码或指向代码的指针的额外点。 没有Java,Flash / Flex,PHP框架等的要点

如何使用BASICauthentication从网站注销用户?

如果他使用基本身份validation,是否可以从网站注销用户? 杀死会话是不够的,因为一旦用户通过validation,每个请求都包含login信息,所以用户下一次使用相同凭证访问站点时会自动login。 到目前为止唯一的解决scheme是closures浏览器,但从可用性的angular度来看这是不可接受的。