所以我使用自定义身份验证实现了一个Web应用程序。
现在的实现看起来像(括号下面引用了HTTP标头):
Client: (Authorization: <Username>:<Password>)
Server: (Authentication-Info: nextnonce=<signed token>)
Client: (Authorization: Bearer <signed token>) client includes this for all following communication
在我在网络客户端遇到大量CORS配置之前,这与移动应用客户端完美配合。
我注意到Chrome拒绝获取Authentication-Info标头,除非我将其添加到Access-Control-Expose-Headers标头中。 Access-Control-Allow-Credentials的价值根本不重要。虽然document表示凭证包含&#34; HTTP身份验证&#34;。
这就是Access-Control-Allow-Credentials的重点。我是否了解&#34; HTTP身份验证&#34;错误? 到目前为止,我对这个应用程序的实现看起来不错吗?
顺便说一句,我已经读过answer了。但我认为这并没有解释清楚。