我想围绕一个想法。我已经建立了十多年的Web服务和Web应用程序,并且最近一直专注于尽可能提供RESTful服务(例如,为浏览器和API客户端使用相同的URI,但让它们修改为accept:to决定是否发送XML或XHTML)。
使用具有RESTful服务的Web浏览器的一个重要问题是跟踪私有方法的用户状态。最好的方法是让客户端提供HTTP身份验证令牌,但是很少有客户或用户喜欢在浏览器中通过HTTP身份验证框提示,尤其是当他们习惯于基于Web表单的登录时。
HTTP身份验证还存在其他问题,例如过期支持不佳,但在其他方面比cookie会话要好得多。
我的想法是允许Web表单通过执行以下操作来提交HTTP身份验证信息:
这可能意味着我们可以同时拥有RESTful用户身份验证,但没有标准的浏览器登录框。我已经制作了一个脏的Firefox插件原型,但它目前只支持BASIC auth(最终可以使用Digest)。
我能看到的问题是,如果这个想法运作良好,将其标准化并批准,以便所有浏览器都支持它以及标准丑陋的盒子。
有人对这个想法有任何反馈,或知道有任何类似的努力吗?
我有一个即将发布的内联网项目,我几乎想要完成插件(以及客户端SSL证书支持),并将其用作测试。
我找不到任何类似的东西,除了一些小项目,其中开发人员使用Javascript从表单中读取用户名和密码,然后将它们用作XMLHTTPRequest中的http身份验证令牌
经过一系列的研究,我决定将1999年的模板作为提交给WHATWG for HTML5的新提案的基础。主要焦点应该是:
如果有其他人(感谢Julian指针)在评论或反馈或任何其他考虑方面有任何补充,请告知我们。一旦我排好了,我就会在博客上发表这篇文章。
Stackoverflow可能是这些类型的想法和建议的好地方..
如何在Stackoverflow上更多地关注这一点 - 大多数人都会使用标签进行浏览吗?
答案 0 :(得分:3)
最近,该主题重新关注W3C HTML工作组(请参阅http://www.w3.org/html/wg/tracker/issues/13),WHW WG和IETF(请参阅Internet-Draft http://tools.ietf.org/html/draft-broyer-http-cookie-auth-00)。
我建议关注IETF讨论(邮件列表:http://lists.osafoundation.org/pipermail/ietf-http-auth/)。