我使用Nancy和Owin创建了一个自托管站点。我使用Nancy.BasicAuthentication进行身份验证。一切正常,直到我更改当前登录用户的密码。
更改密码后,如果用户创建了请求,则会将其重定向到404错误页面,弹出窗口询问用户名和密码。
如何在更改密码后更新用户的凭据以阻止他们丢失身份验证?
谢谢!
答案 0 :(得分:0)
a)基本身份验证非常容易收听 - 请考虑使用摘要身份验证。
b)基本身份验证和摘要身份验证都是逐页进行的 - 每个请求都是单独进行身份验证的(如果已经拥有凭据,浏览器只会自动执行身份验证)
c)希望返回401 Authentication,而不是404 Not Found?
d)我怀疑在更改密码(例如cookie)之后允许先前经过身份验证的用户继续使用网站的任何操作都需要对身份验证处理程序进行代码更改。例如,您可以在成功验证页面时设置cookie(需要加密),如果cookie可用,则不需要对其他页面进行身份验证(在cookie上超时)。