logout - 使用 HTTP 基本身份验证时注销用户

Question

我希望用户能够通过 HTTP 基本身份验证模式登录。

问题是我还希望他们能够再次注销 - 奇怪的是浏览器似乎不支持这一点。

这被认为是一种社交黑客风险 - 用户将其计算机解锁并打开浏览器，其他人可以轻松地以他们的身份访问该网站。请注意，仅关闭浏览器选项卡不足以重置 token ，因此用户很容易错过。

所以我想出了一个解决方法，但这完全是一个错误:

1) 将他们重定向到注销页面

2) 在该页面上触发一个脚本以 ajax 加载另一个带有虚拟凭据的页面:

$j.ajax({
    url: '<%:Url.Action("LogOff401", new { id = random })%>',
    type: 'POST',
    username: '<%:random%>',
    password: '<%:random%>',
    success: function () { alert('logged off'); }
});

3) 第一次应该总是返回 401(以强制传递新凭据)，然后只接受虚拟凭据:

[AcceptVerbs(HttpVerbs.Post)]
public ActionResult LogOff401(string id)
{
    // if we've been passed HTTP authorisation
    string httpAuth = this.Request.Headers["Authorization"];
    if (!string.IsNullOrEmpty(httpAuth) &&
        httpAuth.StartsWith("basic", StringComparison.OrdinalIgnoreCase))
    {
        // build the string we expect - don't allow regular users to pass
        byte[] enc = Encoding.UTF8.GetBytes(id + ':' + id);
        string expected = "basic " + Convert.ToBase64String(enc);

        if (string.Equals(httpAuth, expected, StringComparison.OrdinalIgnoreCase))
        {
            return Content("You are logged out.");
        }
    }

    // return a request for an HTTP basic auth token, this will cause XmlHttp to pass the new header
    this.Response.StatusCode = 401; 
    this.Response.StatusDescription = "Unauthorized";
    this.Response.AppendHeader("WWW-Authenticate", "basic realm=\"My Realm\""); 

    return Content("Force AJAX component to sent header");
}

4) 现在，浏览器已接受并缓存随机字符串凭据。当他们访问另一个页面时，它会尝试使用它们，失败，然后提示输入正确的页面。

请注意，我的代码示例使用 jQuery 和 ASP.Net MVC，但任何技术堆栈都应该可以实现同样的效果。

在 IE6 及更高版本中还有另一种方法可以实现此目的:

document.execCommand("ClearAuthenticationCache");

但是，这会清除所有身份验证 - 他们注销了我的网站，并且也注销了他们的电子邮件。所以就这样了。

有没有更好的方法来做到这一点？

我见过other questions对此，但他们已经 2 岁了 - 现在在 IE9、FX4、Chrome 等中有更好的方法吗？

如果没有更好的方法可以做到这一点吗？有什么办法可以让它更健壮吗？

Answer 1

短雁是:
没有可靠的程序可以使用以下方法实现“注销”鉴于基本身份验证的当前实现，HTTP 基本或摘要身份验证。

此类身份验证的工作原理是让客户端添加一个Authorization header 到请求。
如果对于某个资源，服务器对所提供的凭据不满意(例如，如果没有)，它将以“401 Unauthorized”状态代码并请求身份验证。为此，它将提供一个带有响应的 WWW-Authenticate header 。

客户端无需等待服务器请求身份验证。它可能只是提供一个基于某些本地的Authorization header 假设(例如，上次成功尝试的缓存信息)。

虽然您概述的“清除”身份验证信息的方法很有可能与广泛的客户端(即广泛的浏览器)一起使用，绝对不能保证另一个客户可能“更聪明”并且只需区分“注销”页面和目标站点的任何其他页面的正确身份验证数据即可。

您将认识到使用基于客户端证书的身份验证时会遇到类似的“问题”。只要没有客户的明确支持，您就可能会陷入失地。

因此，如果“注销”是一个问题，请转向任何基于 session 的身份验证。

如果您有权在服务器端实现身份验证，您可能能够实现一种功能，该功能将忽略授权 header 中提供的身份验证信息(如果仍然与当前期间提供的内容相同) “ session ”)根据您的应用程序级代码的请求(或提供一些“超时”，之后将重新请求任何凭据)，以便客户端会要求用户提供"new"凭据(执行新的登录)。