HTTP 401 - какое значение заголовка WWW-Authenticate подходит?

Приложение, над которым я сейчас работаю, имеет значение тайм-аута сеанса. Если пользователь не взаимодействовал дольше этого значения, на следующей странице, которую он попытается загрузить, ему будет предложено войти в систему.

Все сделанные запросы маршрутизируются через этот механизм, который включает вызовы AJAX. Первоначально мы отправляли заголовок 200 со страницей входа в систему, что вызывает некоторые проблемы с AJAX, поскольку код запускается, если отправляется ответ 200, и большая часть данных, отправляемых обратно из этих вызовов RPC, представляет собой JSON или необработанный JavaScript, который оценивается (не спроси: |).

Я предположил, что 401 лучше, поскольку наш парсер JSON не будет пытаться использовать HTML-страницу входа в систему .. :)

Однако, читая спецификацию , я заметил, что WWW-Authenticateполе также должно быть отправлено.

Какое значение имеет это поле? Хватит Application Login?

При указании базовой аутентификации HTTP мы возвращаем что-то вроде:

WWW-Authenticate: Basic realm="myRealm"

Тогда Basicкак схема, а остальное очень сильно зависит от этой схемы. В этом случае realm просто предоставляет браузеру литерал, который может отображаться пользователю при запросе идентификатора пользователя и пароля.

Однако вы, очевидно, не используете Basic, поскольку нет смысла иметь истечение срока действия сеанса при использовании Basic Auth. Я предполагаю, что вы используете какую-то форму аутентификации на основе форм.

Насколько я помню, Windows Challenge Response использует другую схему и другие аргументы.

Хитрость в том, что браузер должен определять, какие схемы он поддерживает и как он на них реагирует.

Мне кажется, что если вы используете аутентификацию на основе форм, нужно оставаться со страницей повторного входа 200 +, но добавить настраиваемый заголовок, который браузер будет игнорировать, но ваш AJAX может идентифицировать.

Для действительно хорошего опыта User + AJAX, заставьте скрипт повиснуть на запрос AJAX, который обнаружил, что сеанс истек, запустите запрос на повторный вход через всплывающее окно, а в случае успеха повторно отправьте исходный запрос AJAX и продолжайте как обычно.

Избегайте чита, который заставляет скрипт попадать на сайт каждые 5 минут, чтобы поддерживать сеанс в рабочем состоянии, потому что это просто отменяет точку истечения срока действия сеанса.

Другой альтернативой является запись запроса AJAX, но это неудобно для пользователя.

Нет, вам нужно будет указать используемый метод аутентификации (обычно «Базовый») и область аутентификации. См. Http://en.wikipedia.org/wiki/Basic_access_authentication для примера запроса и ответа.

Вы также можете прочитать RFC 2617 - HTTP-аутентификация: базовая и дайджест-проверка подлинности .

Когда время сеанса пользователя истекает, я отправляю обратно код состояния HTTP 204. Обратите внимание, что статус HTTP 204 не содержит содержимого. На стороне клиента я делаю так:

xhr.send(null);
if (xhr.status == 204) 
    Reload();
else 
    dropdown.innerHTML = xhr.responseText;

Вот функция Reload ():

function Reload() {
    var oForm = document.createElement("form");
    document.body.appendChild(oForm);
    oForm.submit();
    }