Tag: basic authentication

为什么浏览器在经过validation的XMLHttpRequest之后不重复使用授权标头？: 我正在开发使用Angular的单页面应用程序。后端公开了需要基本身份validation的REST服务。获取index.html或任何脚本不需要身份validation。我有一个奇怪的情况，其中我的一个视图有一个<img>其中src是需要身份validation的REST API的URL。 <img>是由浏览器处理的，我没有机会为它所做的GET请求设置授权头。这会导致浏览器提示input凭据。我试图通过这样做来解决这个问题：在源代码中将img src留空在“文档准备好”时，使用授权标头对服务（ /api/login ）进行XMLHttpRequest ，以使authentication发生。在完成这个调用后，设置img src属性，认为到那时，浏览器将知道在随后的请求中包括授权标题… …但它不。对图像的请求不带标题。如果我input凭据，那么页面上的所有其他图像是正确的。（我也试过和Angular的ng-src但是产生了相同的结果）我有两个问题：为什么浏览器（IE10）在成功的XMLHttpRequest之后在所有请求中包含头文件？我能做些什么来解决这个问题？ @bergi询问了请求的详细信息。他们来了。请求/ api /login GET https://myserver/dev30281_WebServices/api/login HTTP/1.1 Accept: */* Authorization: Basic <header here> Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/6.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; […]

APIdevise：HTTP基本authentication与API令牌: 我目前正在为Web应用程序的公共Web API创build一个身份validation系统。鉴于每个用户帐户都有一个API密钥，并且每个请求都必须经过validation，所以我有两个select：使用HTTP基本authentication，就像GitHub一样。请求必须发送到URL http://api.example.com/resource/id with basic authentication username: token password: the api key 传递API令牌作为查询string参数。请求必须发送到URL http://api.example.com/resource/id?token=api_key 还有第三个选项是在URI中传递令牌，但我真的不喜欢这个解决scheme。你会采用哪种解决scheme，为什么？

先用Apache HttpClient 4进行基本身份validation: 有没有一种更简单的方法来设置HTTP客户端抢先基本authentication比这里描述的？在以前的版本（3.x）中，它曾经是一个简单的方法调用（例如， httpClient.getParams().setAuthenticationPreemptive(true) ）。我想避免的主要事情是将BasicHttpContext添加到我执行的每个方法。

基本的HTTP和承载令牌authentication: 我目前正在开发一个REST-API，它是HTTP-Basic保护的开发环境。由于真正的身份validation是通过令牌来完成的，我仍然试图弄清楚，如何发送两个授权头。我试过这个： curl -i http://dev.myapp.com/api/users \ -H "Authorization: Basic Ym9zY236Ym9zY28=" \ -H "Authorization: Bearer mytoken123" 我可以例如禁用我的IP的HTTP身份validation，但由于我通常在不同的dynamicIP环境下工作，这不是一个好的解决scheme。所以我错过了什么？

摘要和基本身份validation有什么区别？: 摘要和基本身份validation有什么区别？

基本authentication中的“领域”是什么？: 我设置了一个PHP网站的基本身份validation，发现这个页面上的PHP手册显示设置。标题中的“领域”是什么意思？ header('WWW-Authenticate: Basic realm="My Realm"'); 这是页面被请求？

ASP.NET MVC – HTTP身份validation提示: 是否有可能使我的应用程序要求提供用户名和密码之前渲染视图？就像在Twitter API获取有关您的帐户的信息： http://twitter.com/account/verify_credentials.xml 所以在渲染视图||之前文件它要求你插入你的用户名和密码，我认为这是直接在服务器上，因为curl请求是基于用户名：密码以及如下所示： curl -u user:password http://twitter.com/account/verify_credentials.xml 正如我试图build立一个API遵循相同的结构，我想知道如何在ASP.NET MVC C＃上做到这一点。我已经在ruby on rails上使用它，它非常简单，如： before_filter :authenticate def authenticate authenticate_or_request_with_http_basic do |username, password| username == "foo" && password == "bar" end 我不认为[Authorize]filter是相同的，因为我相信这只是一个redirect，它会将您redirect到基于帐户数据库的Accounts Internal Controller，在这种情况下，我将使用另一个数据库， web服务，并提交信息后进行validation。但是，我需要采取行动来要求用户，并根据请求传递凭据。提前致谢更新：其实要请求一个页面，需要这个authentication（即Twitter），我将不得不根据其要求宣布这一点 request.Credentials = new NetworkCredential("username", "password"); 这将反映提示的用户名和密码。所以，从另一方面来说，这是完全一样的，如果可以根据请求向authentication提示信息提供信息，那么我怎么会要求这个authentication呢？所以每次有人试图向我的应用程序请求例如： HTTP：//为MyApplication /客户/ verify_credentials 它应该要求一个用户名和密码与该服务器提示，以检索curl的信息，例如它会是这样的 curl -u user:password […]

http基本authentication“注销”: 存储HTTP基本authentication凭证，直到浏览器closures，但有没有办法在浏览器closures之前删除凭证？我阅读了关于HTTP 401状态码的技巧，但它似乎工作不正常（见评论回答）。也许机制trac使用的是解决scheme 。凭证可以用JavaScript删除吗？或者结合使用JavaScript和401状态技巧？

用于HTTP基本authentication的纯JavaScript代码？: 我在哪里可以find在纯JavaScript中实现HTTP基本authentication客户端的参考代码，适合AJAX？可以独立于JS工具包（如YUI）使用的代码或指向代码的指针的额外点。没有Java，Flash / Flex，PHP框架等的要点

如何使用BASICauthentication从网站注销用户？: 如果他使用基本身份validation，是否可以从网站注销用户？杀死会话是不够的，因为一旦用户通过validation，每个请求都包含login信息，所以用户下一次使用相同凭证访问站点时会自动login。到目前为止唯一的解决scheme是closures浏览器，但从可用性的angular度来看这是不可接受的。