百度360必应搜狗淘宝本站头条
vba高级教程svn连接scheduledtaskmybatis plus结构体数组
当前位置:网站首页 > 编程网 > 正文

自定义基本Http身份验证 自定义基本http身份验证是什么

yuyutoo 2024-10-15 17:00 3 浏览 0 评论

我将在此处描述的问题和解决方案是“基本Http身份验证”的基本对话框的解决方法。尝试统一身份验证流程时遇到了这样的问题。像我们大多数人一样,我从浏览互联网开始寻找解决方案,不幸的是,我发现没有一种解决方案适合我的情况。在这里,我想分享我的经验,希望有人会觉得有用。

问题

通常,一个问题是取消基本的http身份验证对话框并显示自定义UI而不是“基本浏览器”对话框,只是为了使跨浏览器具有通用的用户体验。例如,在Chrome,FF或Opera浏览器上输入错误的用户凭据时的用户体验将不同于InternetExplorer和Safari.IE或Safari在几次尝试在服务器上对用户进行身份验证后将取消错误请求(如果是错误的),并且Web应用程序可以显示某些页面,例如“无法访问您的帐户”。Chrome,FF和Opera将无限执行此操作(请求将处于待处理状态),直到用户放弃并按“取消”按钮。另一个问题是在进行基本身份验证的情况下如何注销。

我的实验是围绕Apache服务器的配置进行的,但我认为可以轻松地针对IIS或Nginx进行配置。因为那时一切都围绕基本Http身份验证。

该解决方案通过了IE(10,11),Chrome49,FF44,Opera36的测试。

解决方案

首先,必须要做的是配置Http服务器,在我的例子中是Apache。通常,不需要身份验证的所有静态内容(例如图像,脚本,html)都不需要身份验证。但是对于该解决方案,我们将需要一个经过身份验证的图像(例如)。

我在服务器上创建了一个目录,并在其中放置了小映像并配置了apache,以便需要对资源进行身份验证。

这是名称为“”的目录的配置示例auth_required

Alias		/auth_required	/path/auth_required/
<Location /auth_required>
	Options Indexes
	Order allow,deny
	Allow from all
	Include "/your/path/here/an_auth_config.conf"
</Location>1234567复制代码类型:[javascript]

我为自定义身份验证UI创建了一个免费的身份验证目录。该目录具有一个简单的HTML页面,该页面无法破坏整个门户网站的安全性,并显示简单的身份验证页面。

这是目录身份验证的Apache配置示例。

# Unprotected resources
<Directory /path/auth>
	AuthType None
</Directory>

Alias		/auth			/path/auth
<Location /auth>
	# No Auth
	AuthType None
	#Require all granted
	DirectoryIndex auth_test.html
</Location>123456789101112复制代码类型:[javascript]

这就是我们在服务器端要做的所有事情。

主要技巧是在客户端实现的。

在下面,您将找到带有内联注释的代码示例。该解决方案适用于InternetExplorer,Chrome,FF和Opera,但不幸的是不适用于Safari。

我想如果服务器将在用户凭据错误的情况下提供403代码而不是401代码,那么Safari也可以正常工作。目前,我还没有找到适合Safari的正确方法。

此外,我还有一个开放的问题,即在用户成功通过身份验证时,客户端应在哪里保留用户名,如果下次用户自动将其重定向到主页而不提示身份验证页,客户端应该这样做。现在,我将用户名保留在cookie上,如果不为空,它将触发自动重定向到主页,而无需直接在url上提供用户名和密码。

function doLoad()
{
    //the method will be called on page load and in case 
    //if user previously was authenticated should redirect to main page
    //here we have to get logged in user somehow, probably from cookie or local storage.

    //we always have to provide user name to XMLHttpRequest even if it is not correct, 
    //because in case if user was not logged in before 
    //and we do not provide any user name for XMLHttpRequest.open method 
    //default authentication window will be prompted, but we want to suppress it

    var user = $.cookie('loggedas');
    if (user && user.length > 0)
    {
        authenticate();
    }
}

function doAuthenticate()
{
    //the method have to be called on user click on user credentials form
    var user = $('#useridUIID').val();
    var pswd = $('#pswdUIID').val();

    //it is main trick, default authenticated window will be 
    //prompted until ANY user name (even not correct) will be passed to XMLHttpRequest
    //but it doesn't work for Safari
    user = (user && user.length > 0 ? user : '' + Date.now().getTime())

    authenticate(user, pswd);
}

function authenticate(user, pswd)
{
    var warning = $('div.warning');
    if (!warning.hasClass('hidden'))
    {
        warning.addClass('hidden');
    }

    //path to resource which require authentication
    var img = location.protocol + '//' + location.host + 
    (location.port && location.port.length > 0 ? ':' + 
    location.port : '') + '/auth_required/favicon.ico';

    var xhr = new XMLHttpRequest();
    if (user)
    {
        xhr.open('GET', img, true, user, pswd);
    }
    else
    {
        xhr.open('GET', img, true);
    }

    xhr.onreadystatechange = function (e)
    {
        if (this.status !== 0) //work around for IE
        {
            if (this.status === 200)
            {
                //keep user name, in order to redirect automatically next time
                //from my perspective I dont see any security breach to keep user name at cookies, 
                //if it is not so, here should be another way to automatically redirecting next time
                $.cookie('loggedas', user);

                //redirect to main page
                if (user)
                {
                    try
                    {
                        document.location.href = location.protocol + '//' + 
                        user + ':' + pswd + '@' + location.host + 
                        (location.port && location.port.length > 0 ? ':' + 
                        location.port : '') + '/admin/';
                    }
                    catch (e)
                    {
                        document.location.href = location.protocol + '//' + 
                        location.host + (location.port && location.port.length > 0 ? 
                        ':' + location.port : '') + '/admin/';
                    }
                }
                else
                {
                    document.location.href = location.protocol + '//' + location.host + 
                    (location.port && location.port.length > 0 ? ':' + 
                    location.port : '') + '/admin/';
                }
            }
            else
            {
                //show error in case wrong credentials
                if (warning.hasClass('hidden'))
                {
                    warning.removeClass('hidden');
                }
            }
        }
    };

    xhr.send();
}

$(document).ready(function ()
{
    doLoad();
});123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108复制代码类型:[javascript]

现在,您可以像这样对服务器进行身份验证:

代替默认值:

结论

当然,如果您不想在服务器端实现自定义身份验证,而只使用基本身份验证,那么我所说的一切都会起作用。

另外,我仍然不知道Safari合适的解决方法。而且我没有针对较旧的浏览器进行测试,该解决方案是否适用于它们?

相关推荐

jQuery VS AngularJS 你更钟爱哪个?

在这一次的Web开发教程中,我会尽力解答有关于jQuery和AngularJS的两个非常常见的问题,即jQuery和AngularJS之间的区别是什么?也就是说jQueryVSAngularJS?...

Jquery实时校验,指定长度的「负小数」,小数位未满末尾补0

在可以输入【负小数】的输入框获取到焦点时,移除千位分隔符,在输入数据时,实时校验输入内容是否正确,失去焦点后,添加千位分隔符格式化数字。同时小数位未满时末尾补0。HTML代码...

如何在pbootCMS前台调用自定义表单?pbootCMS自定义调用代码示例

要在pbootCMS前台调用自定义表单,您需要在后台创建表单并为其添加字段,然后在前台模板文件中添加相关代码,如提交按钮和表单验证代码。您还可以自定义表单数据的存储位置、添加文件上传字段、日期选择器、...

编程技巧:Jquery实时验证,指定长度的「负小数」

为了保障【负小数】的正确性,做成了通过Jquery,在用户端,实时验证指定长度的【负小数】的方法。HTML代码<inputtype="text"class="forc...

一篇文章带你用jquery mobile设计颜色拾取器

【一、项目背景】现实生活中,我们经常会遇到配色的问题,这个时候去百度一下RGB表。而RGB表只提供相对于的颜色的RGB值而没有可以验证的模块。我们可以通过jquerymobile去设计颜色的拾取器...

编程技巧:Jquery实时验证,指定长度的「正小数」

为了保障【正小数】的正确性,做成了通过Jquery,在用户端,实时验证指定长度的【正小数】的方法。HTML做成方法<inputtype="text"class="fo...

jquery.validate检查数组全部验证

问题:html中有多个name[],每个参数都要进行验证是否为空,这个时候直接用required:true话,不能全部验证,只要这个数组中有一个有值就可以通过的。解决方法使用addmethod...

Vue进阶(幺叁肆):npm查看包版本信息

第一种方式npmviewjqueryversions这种方式可以查看npm服务器上所有的...

layui中使用lay-verify进行条件校验

一、layui的校验很简单,主要有以下步骤:1.在form表单内加上class="layui-form"2.在提交按钮上加上lay-submit3.在想要校验的标签,加上lay-...

jQuery是什么?如何使用? jquery是什么功能组件

jQuery于2006年1月由JohnResig在BarCampNYC首次发布。它目前由TimmyWilson领导,并由一组开发人员维护。jQuery是一个JavaScript库,它简化了客户...

django框架的表单form的理解和用法-9

表单呈现...

jquery对上传文件的检测判断 jquery实现文件上传

总体思路:在前端使用jquery对上传文件做部分初步的判断,验证通过的文件利用ajaxFileUpload上传到服务器端,并将文件的存储路径保存到数据库。<asp:FileUploadI...

Nodejs之MEAN栈开发(四)-- form验证及图片上传

这一节增加推荐图书的提交和删除功能,来学习node的form提交以及node的图片上传功能。开始之前需要源码同学可以先在git上fork:https://github.com/stoneniqiu/R...

大数据开发基础之JAVA jquery 大数据java实战

上一篇我们讲解了JAVAscript的基础知识、特点及基本语法以及组成及基本用途,本期就给大家带来了JAVAweb的第二个知识点jquery,大数据开发基础之JAVAjquery,这是本篇文章的主要...

推荐四个开源的jQuery可视化表单设计器

jquery开源在线表单拖拉设计器formBuilder(推荐)jQueryformBuilder是一个开源的WEB在线html表单设计器,开发人员可以通过拖拉实现一个可视化的表单。支持表单常用控件...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表