HTTP401 logoff

[CGVictor]

Пишу авторизацию. Сессии.
Получение входных данных - $PHP_AUTH_USER и PW. То есть "HTTP 401 Unauthorized"

Со входом все в полном порядке.
Устанавливаю в переменной сессии флаг авторизованности.
А вот как реализовать выход?

Проблема вот в чем:

- если сбрасывать флаг авторизованности - то при дальнейшей работе юзера остается открытая сессия и тянется PHPSESSID. Что некрасиво и неправильно.

- а если уничтожать сессию, то при обращении к скрипту авторизации браузер снова передает $PHP_AUTH_USER и PW. То есть выйти получается невозможно - тут же происходит новая авторизация. Бродилка, похоже, ориентируется по "HTTP 401" и снова передает логин и пасс.
Как запретить ей (бродилке, браузеру) это делать?

[off]Использовать отдельную страничку с формой ввода - не пойдет. Заказчик "окошко с паролем" хочет..[/off]

[FreeSpace]

Мануал:
Both Netscape Navigator and Internet Explorer will clear the local browser window\'s authentication cache for the realm upon receiving a server response of 401. This can effectively "log out" a user, forcing them to re-enter their username and password. Some people use this to "time out" logins, or provide a "log-out" button.

[Меняздесьдавнонет]

Пишу авторизацию. Сессии.
Получение входных данных - $PHP_AUTH_USER и PW

глупость.
обоснуй.

если сбрасывать флаг авторизованности - то при дальнейшей работе юзера остается открытая сессия

Это еще с какой радости?!
Кто тебя заставляет сессию стартовать?

Как запретить ей (бродилке, браузеру) это делать?

никак, расслабься.

Использовать отдельную страничку с формой ввода - не пойдет. Заказчик "окошко с паролем" хочет..

выводи яваскриптом.

[FreeSpace]

[OFF]RomikChef
Меня оклеветали! [/OFF]

[CGVictor]

FreeSpace:
Both Netscape Navigator and Internet Explorer will clear the local browser window\'s authentication cache for the realm upon receiving a server response of 401.

Бред. Говорю же, не работает.

RomikChef:
глупость.обоснуй.

В чем именно - в сессиях или PHP_AUTH_USER?

RomikChef:
Кто тебя заставляет сессию стартовать?

Мне показалось, так проще. Как нужно делать?

RomikChef:
выводи яваскриптом

Придется...

[Меняздесьдавнонет]

CGVictor:
В чем именно - в сессиях или PHP_AUTH_USER?

в соединении этих двух механизмов.

CGVictor:
Мне показалось, так проще. Как нужно делать?

как-как?
стартовать сессию, если нужна, и не стартовать - если не нужна

[CGVictor]

RomikChef:
в соединении этих двух механизмов.

А что в этом особо паршивого? В Http_Auth_Basic пароли летят практически прямым текстом. Чтобы не передавать их при каждом обращении, лучше, мне кажется, пользоваться сессиями...

RomikChef:
стартовать сессию, если нужна, и не стартовать - если не нужна

Нет, с этим как раз все ясно. Если авторизация проходит нормально, то сессия нужна (пользователь же дальше по админзоне гуляет). Но потом-то он в любом случае из нее выйдет. Поэтому сессия нужна, т.к. выйти из админзоны можно только если предварительно в нее войти

[Меняздесьдавнонет]

CGVictor:
 Http_Auth_Basic пароли летят практически прямым текстом. Чтобы не передавать их при каждом обращении

ХА ХА ХА
Тупить-то не надо.
Ты сам-то понял, что сказал?
Ты можешь привести причину, по которой браузер НЕ будет посылать пароли с каждым запросом? Потому, что они тебе не нужны? Ты ему на ушко шепнешь, да?

И даже несмотря на это смехотворное заблуждение, в ответе все равно нет никакой логики. При чем здесь вообще пароли?
Бред - использовать НТТР только для вывода окошка

[Меняздесьдавнонет]

CGVictor:
Поэтому сессия нужна, т.к. выйти из админзоны можно только если предварительно в нее войти

Мальчик, ты тормоз?
что мне за дело до твоих зон?
То тебе не нравится, что у тебя там что-то тянется, тебе задают законный вопрос - а зачем ты сам тянешь, и в ответ начинаются рассказы про какие-то зоны. эрогенные.

[CGVictor]

RomikChef:
Тупить-то не надо.

Ценное замечание.

RomikChef:
Ты можешь привести причину, по которой браузер НЕ будет посылать пароли с каждым запросом?

Потому что я от него их не прошу. После того, как я получил PHP_AUTH_USER, мне логин/пароль, в принципе, не нужны. Ибо есть сессия, где написано, что юзер авторизован. И с какой радости браузеру мне их слать? Он их и не шлет - проверял.

А как ему обьяснить, что не надо слать пароли автоматически на повторное появление "HTTP 401"?

[off]

RomikChef:
При чем здесь вообще пароли?

И кто тупит после этого?[/off]

[ThE0ReTiC]

CGVictor:
А как ему обьяснить, что не надо слать пароли автоматически на повторное появление "HTTP 401"?

ну так не допускай повторного появления 401.
Или это выше твоего понимания?

[Меняздесьдавнонет]

Мальчик просто не понимает, как работает НТТР авто.
И еще ерепенится.

когда узнает (а он же у нас круче вареных яиц), тогда и просветление ему будет.
А тема закрывается в силу полной своей бессмысленности.

[Меняздесьдавнонет]

CGVictor:
Он их и не шлет - проверял.

не забудь проверить еще раз, чудик

[Меняздесьдавнонет]

CGVictor:
а если уничтожать сессию, то при обращении к скрипту авторизации браузер снова передает $PHP_AUTH_USER и PW.

Хе хе.
Вот этот забавный момент за всеми ляпами остался мной незамечаенным.
То есть, чувачок прилепил свой код в виде заплатки к некоей готовой НТТР авторизации.
И пихает из сессии в серверные переменные логин и пароль, как будто они пришли при авторизации.
Больше ничем эту цитату объяснить нельзя.
Разве что, некими телепатическими способностями браузера, который самостоятельно узнаёт, когда нашему другу нужен пароль
Не, я, все-таки, сейчас с него уписаюсь :-)

[CGVictor]

RomikChef:
Не, я, все-таки, сейчас с него уписаюсь :-)

Ромик, я все-таки закрываю глаза на весь тот флейм, который ты тут устроил.

RomikChef:
не забудь проверить еще раз, чудик

Да запросто. Результат - тот же.

RomikChef:
И пихает из сессии в серверные переменные логин и пароль, как будто они пришли при авторизации.

Ерунду говорить не надо.

Короче, ладно. Если ничего толкового сказать не можешь -

RomikChef:тема закрывается

А мне, похоже, придется делать отдельную страничку с формой.