Автор Тема: Повторная аутентификация (Прочитано 22574 раз)

YA · « **Ответ #30 :** 17 Марта 2002, 22:52:14 »

Dm

Цитировать

а в качестве странички для отмены - пустота?

Я уже писал, что проверял оба варианта. Если после заголовков выдаю текст странички - после "отмены" получаю эту страничку, но это ничего не меняет - пароль остаеться в кэше.

А вообще для IE это не важно. Он в отличие от NN, если после заголовков ничего нет, генерирует элементарную страницу без текста (только необходимые тэги типа )

Dm · « **Ответ #31 :** 18 Марта 2002, 00:28:28 »

ThE0ReTiC
достаточно что-нибудь после заголовков послать.
оно и будет страничкой.

ThE0ReTiC · « **Ответ #32 :** 18 Марта 2002, 00:30:32 »

Зачем?
Достаточно .htaccess настроить и пусть сервер сделает за тебя эту неблагодарную работу

Dm · « **Ответ #33 :** 18 Марта 2002, 00:39:57 »

ThE0ReTiC
не... так правильнее будет.

хотя без разницы.

главное, чтобы броузер получил свое.

ThE0ReTiC · « **Ответ #34 :** 18 Марта 2002, 00:43:25 »

Цитировать

так правильнее будет

Это еще почему?

Dm · « **Ответ #35 :** 18 Марта 2002, 01:00:58 »

по формату http

ThE0ReTiC · « **Ответ #36 :** 18 Марта 2002, 01:10:23 »

А причем тут формат? Сервер как раз как надо клиентские запросы отрабатывает. Просто вместо того, чтобы клиенту ручками страницу слать можно поручить это дело серверу. он тоже по "формату http" работает.

Dm · « **Ответ #37 :** 18 Марта 2002, 02:20:36 »

если скрипт генерирует заголовки, то сервер не заменяет страничку 401, которая указана в файле htaccess.
Она применяется лишь в том случае, когда авторизация настроена в этом же файле.

YA · « **Ответ #38 :** 18 Марта 2002, 02:21:06 »

Dm, ThE0ReTiC

Что-то вы совсем не о том.

Я пока что нашел такой выход: при необходимости повторить аутентификацию (timeout), делаю невозможным продолжение работы в текущем окне и заставляю авторизоваться в новом.

Согласен, что очень грубо, но, для данного случая сойдет (пока). А вообще, вопрос остается открытым.

Dm · « **Ответ #39 :** 18 Марта 2002, 02:28:14 »

Вообще, более безопасный метод авторизации с использованием сессий.
т.к. не передается постоянно пароль (который можно элементарно перехватить с помощью сниффера - в локальной сети).

а также, при выходе сессия стирается, следовательно, подобных багов наблюдаться вообще не будет.

YA · « **Ответ #40 :** 18 Марта 2002, 02:42:07 »

Dm
А поподробнее можно?

Dm · « **Ответ #41 :** 18 Марта 2002, 03:06:30 »

YA
в php

уже даже все команды встроены для работы с сессиями

http://php.spb.ru/php/session.html

Dm · « **Ответ #42 :** 18 Марта 2002, 03:12:23 »

и еще:
http://www.digiways.com/articles/php/sessauth/

http://forums.webscript.ru/showthread.php?s=&threadid=4357

Oak · « **Ответ #43 :** 18 Марта 2002, 03:24:40 »

А кстати - никто из вас не думал при этом менять REALM ?

например вставлять в него время (чтобы оно менялось) или IP ?

Я, например, вставляю в Realm всякие текстики типа
- "PASS for MySite "+"(you pass is correct, but login is disabled):"

И кто знает как LogOff сделать ?
На всех нормальных серверах есть. RFC было все лень глянуть - может кто занет?

А еще вариант - если тебе присылают правильный пароль - то надо всеравно послать 401 (один раз) - пользователю ничего не будет, если лишний раз наберет пароль, а IE может и перестанет кешировать

ThE0ReTiC · « **Ответ #44 :** 18 Марта 2002, 03:31:09 »

Цитировать

более безопасный метод авторизации с использованием сессий

ТОчно-точно. Только стирать ее привыходе не забывай. А иначе вся конструкция ломается миунт за 7.

Новости:

Автор Тема: Повторная аутентификация (Прочитано 22574 раз)