【问题标题】:Should a site that requires authentication always send the WWW-Authenticate HTTP response header?需要身份验证的站点是否应该始终发送 WWW-Authenticate HTTP 响应标头?
【发布时间】:2015-08-12 19:20:49
【问题描述】:

我最近尝试访问始终需要身份验证的站点(AEM 作者服务器)。我试图在浏览器地址栏中的 URL 中使用基本身份验证,如下所示: http://admin:admin@localhost:4502/

但是当我尝试这样做时,我得到了以下安全确认(在 Firefox 38.0.1 中):

单击“是”将我带到未经身份验证的登录页面,似乎忽略了我发送的基本身份验证凭据。以下问题(及其评论)帮助我理解这是因为 AEM 作者服务器没有要求身份验证凭据——它没有发送 WWW-Authenticate HTTP 响应标头:

因此,浏览器实际上并没有发送我在地址栏中输入的基本身份验证凭据。

这让我质疑为什么总是需要身份验证的 AEM 作者服务器不发送 HTTP WWW-Authenticate 标头。但这引出了一个更大的问题:

对于一个总是需要身份验证的站点,期望该站点总是发送 WWW-Authenticate 响应标头是否合理,或者是否有正当理由包含此标头,即使确实需要身份验证?

【问题讨论】:

    标签: http-headers aem basic-authentication www-authenticate


    【解决方案1】:

    应用程序可能实现和需要不同类型的身份验证。 AEM 不需要基本身份验证(aem felix console 除外)。您不能期望您将使用不受支持、不需要或当前未配置的身份验证方法直接登录。这就是浏览器通知您此页面不需要身份验证的原因。 AEM 使用带有用户名和密码的表单的 html 页面,并且身份验证请求被发送到 sling 进一步处理它的后端。在cq basicssling authentification 文档中阅读有关此主题的更多信息。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-04-13
      • 2018-06-13
      • 2018-07-02
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多