我有一些使用基于表单的身份验证保护的Web服务器资源。要求是在用户强制认证的情况下获得一些高度安全的资源访问结果,即使他/她之前已经过身份验证并且具有有效的cookie(身份验证)。
会话中的身份验证由特定cookie维护。解决此问题的第一个想法是将带有“过期”值的cookie与返回日期一起传递。但是对于表单登录它不起作用,我在提供正确的凭据后每次都只获得登录页面。遇到带有过期日期的过期值的Cookie,浏览器会删除cookie。所以遇到了这个登录循环。
请告诉我该怎么做。
答案 0 :(得分:2)
此时身份验证还不够。您将不得不实施多级授权,某些级别没有持久性令牌。互联网上有许多资源可以解释token-based auth。
基本身份验证(不要与同名的HTTP方案混淆)仅使用一个令牌来确定用户是否已登录。只需将应用程序拆分为多个authz令牌领域,然后从那里处理它。