WWW-Authenticate注销

时间:2009-11-11 19:28:11

标签: http firefox www-authenticate

我注意到,一旦Firefox弹出一个模式以响应HTTP响应中的WWW-Authenticate标头。然后,Firefox保存用户名/密码,直到Firefox关闭。 Web Developer插件使具有开发人员意识的人可以注销。但是应该将哪些HTTP消息发送到浏览器以丢失那些缓存的凭据?

3 个答案:

答案 0 :(得分:3)

我担心没有办法优雅地向浏览器发送命令以停止(并在每个http请求中发送到您的服务器)您在用户导航开始时回收的凭证(通过http 401响应)。

答案 1 :(得分:2)

我找到了合理的解决方法。这有点牵扯,但效果很好。我创建了一个带有GUID字段的表。它没有从任何记录开始。这是解决方案:

  1. 用户点击“退出”。
  2. Logout脚本会向新表添加GUID。
  3. 注销脚本将用户重定向到以GUID作为参数的URL。
  4. 当用户点击以GUID作为参数的URL时,系统会在表中搜索GUID。
    1. 如果GUID在表中,请删除带有GUID的记录,并提供无效的用户名/密码响应代码(即使凭据正常)。
    2. 如果GUID不在表中,请验证凭据。

    5. 这个新表可能会被黑客快速膨胀,因此请确保每个用户在表中只能有一个条目。您还可以使用时间戳并使用批处理作业来经常修剪表。

答案 2 :(得分:1)

Firefox将使用403 Forbidden清除它缓存的WWW-auth UN / PW。

Chrome将通过403 Forbidden401 Not Authorized清除。

如果您想要缓存,Safari会始终提示您。

IE是大便。

相关问题
最新问题