1
我周圍搜索,似乎並沒有一個非哈克的方式來清除使用基本身份驗證從瀏覽器的用戶憑據。使用基本身份驗證登錄用戶?
我正在用一個接受用戶名/密碼的HTML客戶端構建一個WebAPI - 如果用戶登錄,他們當然也應該能夠註銷,或者系統應該在一段時間後自動註銷。
有沒有任何標準的方法來完成基本身份驗證(通過SSL),或者我應該開始尋找其他形式的身份驗證?
編輯:看着SimpleMembershipProvider,會不會有什麼「錯誤的」擴展與「IsLoggedIn」屬性,我可以切換並檢查每個請求的會員表?如果他們單擊註銷,那麼我將重定向到登錄頁面並返回401 Unauthorized,除非他們再次提交憑據。這聽起來不錯嗎?
明白了。看起來,基本身份驗證並不是一個好的解決方案,因爲它可以保護具有HTTP/JS客戶端的WebAPI。你會同意嗎? – SB2055
是的,有限制。就個人而言,我將避免使用瀏覽器客戶端的基本authn,這不僅僅是因爲缺乏註銷的方式,也是因爲潛在的XSRF問題。但我不會說基本的身份驗證很簡單。它有一些需要注意並據此工作的特點。 – Badri
您嘗試使用302狀態碼重定向,並在重定向的url中提供無效的用戶憑據。 – manuc66