HTTP 401 - яке відповідне значення заголовка WWW-Authenticate?

Програма, над якою я працюю на даний момент, має значення тайм-ауту сеансу. Якщо користувач не взаємодіяв довше, ніж це значення, на наступній сторінці, яку він намагається завантажити, йому буде запропоновано увійти.

Усі зроблені запити спрямовуються через цей механізм, який включає дзвінки AJAX. Спочатку ми надсилали заголовок 200 зі сторінкою входу, що створює деякі проблеми з AJAX, оскільки код запускається, якщо надсилається відповідь 200, і більшість даних, що надсилаються з цих дзвінків RPC, - це JSON або необроблений JavaScript, який оцінюється (не запитайте: |).

Я припустив, що 401 краще, оскільки наш аналог JSON не намагатиметься використовувати HTML-сторінку входу .. :)

При читанні специфікації , однак, я помітив , що WWW-Authenticateполе також має бути надіслано.

Яке хороше значення для цього поля? Буде Application Loginдостатньо?

Вказуючи HTTP Basic Authentication, ми повертаємо щось на зразок:

WWW-Authenticate: Basic realm="myRealm"

Тоді Basicяк схема, а решта дуже залежить від цієї схеми. У цьому випадку сфера просто надає браузеру буквальне значення, яке може відображатися користувачеві під час запиту ідентифікатора користувача та пароля.

Ви, очевидно, не використовуєте Basic, оскільки немає сенсу закінчувати час сеансу, коли використовується Basic Auth. Я припускаю, що ви використовуєте певну форму аутентифікації на основі форм.

З часу згадування, Windows Challenge Response використовує іншу схему та різні аргументи.

Хитрість полягає в тому, що браузер повинен визначити, які схеми він підтримує і як він реагує на них.

Я відчуваю, що ви використовуєте автентифікацію на основі форм - залишатися зі сторінкою 200 + Relogin, але додати спеціальний заголовок, який браузер буде ігнорувати, але ваш AJAX може ідентифікувати.

Для дійсно хорошого користувачеві + AJAX досвіду знайдіть скрипт, щоб завісити на запит AJAX, який виявив, що сеанс закінчився, відключіть запит на повторну реєстрацію через спливаюче вікно, і при успіху повторно подайте оригінальний запит AJAX і продовжуйте працювати як завжди.

Уникайте шахрайства, що тільки отримує сценарій, щоб потрапляти на сайт кожні 5 хвилин, щоб зберегти сеанс в живих, що просто перемагає точку закінчення сеансу.

Інша альтернатива - запит запиту AJAX, але це поганий досвід користувача.

Ні, вам доведеться вказати метод аутентифікації, який слід використовувати (як правило, "Basic") та область автентифікації. Див. Http://en.wikipedia.org/wiki/Basic_access_authentication за прикладом запиту та відповіді.

Ви також можете прочитати RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication .

Коли час сеансу користувача закінчується, я надсилаю назад код статусу HTTP 204. Зауважте, що стан HTTP 204 не містить вмісту. З боку клієнта я роблю це:

xhr.send(null);
if (xhr.status == 204) 
    Reload();
else 
    dropdown.innerHTML = xhr.responseText;

Ось функція Reload ():

function Reload() {
    var oForm = document.createElement("form");
    document.body.appendChild(oForm);
    oForm.submit();
    }