- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
如果未构建 BASIC 身份验证来处理注销,那么存在哪些替代身份验证方法来验证需要能够注销的后端服务?
I found these references stating that BASIC auth is not able to do log out without some hackiness:
How to log out user from web site using BASIC authentication?
我们使用 BASIC 身份验证登录后端应用程序,并使用 FORM 身份验证前端应用程序。我们的团队在 FireFox/IE 上测试堆栈后,发现如果用户在这些浏览器上通过 BASIC 身份验证登录后端服务,将无法注销。我的团队无法接受黑客攻击和解决方法(要求用户输入不正确的凭据、让用户关闭浏览器、使用 javascript 发送不正确的凭据、要求用户清除浏览器缓存等),因此我们正在寻求有关替代身份验证方法的建议允许注销
编辑- 我的注销临时解决方法:
我目前正在通过使用 FORM 身份验证解决这个问题。一个问题是我的后端服务依赖于共享的前端 login.html 表单,另一个问题是 Postman 不支持通过重定向的 FORM 输入登录,我们的客户端 Arquillian 调用从登录表单爆炸。
FORM 身份验证摆脱了“我无法使用 BASIC 注销”的问题,但现在我无法直接进行身份验证。
最佳答案
如果可以在服务器上保留 session 状态,您可以选择基于表单的身份验证。
在表单中发送凭据,如果凭据有效,服务器将发出一个cookie,该cookie将来回发送以识别服务器上的 session 。要注销,可以使 session 无效:
session.invalidate();
您还可以将您的应用程序配置为因超时而使 session 过期:
<session-config>
<session-timeout>60</session-timeout> <!-- minutes -->
</session-config>
如果您想要无状态机制,请选择基于 token 的身份验证。
客户端交换硬凭证(例如用户名和密码)以获得称为 token 的一段数据。对于每个请求,客户端不会发送硬凭证,而是将 token 发送到服务器以执行身份验证然后授权。
对于 token ,您可以使用 JSON Web Token (智威汤逊)。它是一个开放标准,定义了一种紧凑且独立的方式,用于在各方之间安全地传输信息作为 JSON 对象。
JWT 是以下类型 token 的通用名称:
JSON Web Signature (JWS):有效负载经过编码和签名,因此可以验证声明的完整性。
JSON Web Encryption (JWE):它们的有效负载是加密的,因此声明对其他方隐藏。
图像是从这个 page 中提取的.
token 可以在 exp
中定义到期日期宣称。对于注销,您可以从客户端删除 token 。
您还可以在服务器端的白名单中跟踪 token ,并根据需要使它们失效。虽然没有必要在服务器端存储整个 token :在白名单中只存储一个 token 标识符并使用 jti
声明将 token 标识符存储在 token 中。
关于java - 需要注销时基本身份验证的替代方案?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51341562/
我正在进行 Twitter 集成。 我不知道如何退出 Twitter。 我正在使用以下代码尝试注销...但它只是删除了 token : try {
我可以使用我的站点和 phpBB3 的集成登录系统登录。我不能 注销...我尝试破坏 session ,或使用 ->logout(); 我登录为: $phpBBusername = $_SES
我目前正在学习 firebase facebook auth,但似乎 firebase 不提供 facebook logout api? 因为我在 firefeed.io 上注销,但它并没有注销 fa
环境 Richfaces 3.3.3 JSF 1.2 站点记录器 要求 用户输入所需的申请地址。 Siteminder 拦截并询问用户名和密码。客户提供凭据。客户使用应用程序并单击注销/退出按钮。应用
我喜欢从 Azure 广告 B2C 中注销我的 Web 应用程序。我尝试了以下示例 https://www.janaks.com.np/azure-ad-identity-provider-in-as
通过使用 here 中的 Fitbit 文档。我已在我的应用程序中成功通过 token 过期时间 expires_in=604800 进行 Fitbit 身份验证。我对如何从登录帐户注销感到困惑。是否
我有一个使用 Oauth 2 与 Facebook 集成的应用程序。 我可以使用 FB 授权并很好地查询他们的 REST 和图形 API,但是当我授权时,一个事件的浏览器 session 是使用 FB
在我的应用程序中,我有一个将 BroadcastReceiver 注册到 onStart() 方法中的服务: public void onStart() { if(something....)
我有一个 div 标签,可以说“mydivTag” 它下面有一个子节点,ID为“childID” 我想删除/取消注册/任何“childID”,然后重新创建具有相同 ID“childID”的不同节点 如
我有一个 asp.net 应用程序,我正在使用 FormsAuthantication。当用户关闭页面时,位于 Global.asax Session_End 中的代码被执行:FormsAuthant
我的应用程序的结构如图所示。 在我的 ProfileViewController(选项卡之一)中,有一个注销按钮。 我想弹出回到 RegisterViewController。 如果用户已经注册,我将
有没有办法注销在 php 中完成的摘要式身份验证。 我试过 unset($_SERVER["PHP_AUTH_DIGEST"]);但它不会要求重新登录。我知道如果我关闭浏览器它就会工作,这是我的功能。
我的问题是捕获用户注销。我的代码是: public function onAuthenticationFailure(Request $request, AuthenticationExceptio
我下面的代码是应用程序的 OnClick 注销方法。目前它所做的只是将用户返回到登录页面,但是如果用户按下 Android 手机上的后退按钮,它会将他们带回到他们刚刚注销的页面,我不希望这样.如何更改
我有一个带有面板的表单,我可以在该面板上动态加载多个用户控件。我处理每个控件的事件。 UserControl userControl1 = LoadControl("control.ascx") as
我正在尝试为我们现有的 laravel 站点(laravel 5.2)的注销功能添加一些逻辑,但它不像登录那样简单。 客户端的现有注销工作正常,但我想要做的就是向我的 Cognito 实例添加一个调用
当前从注册处注销 M3 模型的首选方法是什么? 在我的项目中,我使用 Rascal 来分析大约 100 个大型 Java 程序,而我的 JVM 正在慢慢耗尽内存。我在旧版本的注册表中找到了 unreg
此主题与 Java 中的主题相关,但我找不到 C# 的解决方案。 http://theblasfrompas.blogspot.com/2010/01/closing-obsolete-databas
Slick 用大量的日志消息填满了控制台。我想,就像文档建议的那样,使用 slf4j-nop ,所以日志是关闭的,但是 Akka 需要自己的 slf4j 库。 所以我只剩下 akka-slf4j_2.
如果他空闲 20 分钟,我想提醒用户。所以,创建了一个服务。 它在桌面上运行良好,但在手机中它没有显示,有时如果屏幕在后台停留了几个小时,那么一旦我再次进入页面,注销对话框屏幕就会开始倒计时。 我的意
我是一名优秀的程序员,十分优秀!