我目前正在处理的应用程序有一个会话超时值。如果用户没有交互的时间超过此值,他们尝试加载的下一页将提示他们登录。
发出的所有请求都通过此机制进行路由,其中包括 AJAX 调用。最初我们在登录页面中发送 200 标头,这引入了 AJAX 的一些问题,因为如果发送 200 响应,代码就会运行,并且从这些 RPC 调用发回的大多数数据是 JSON 或被评估的原始 JavaScript(不要问:|)。
我建议 401 更好,因为我们的 JSON 解析器不会尝试使用 HTML 登录页面.. :)
但是,当reading the spec 时,我注意到WWW-Authenticate 字段也必须发送。
这个字段有什么好的价值? Application Login 就够了吗?
【问题讨论】:
标签: http-headers xmlhttprequest
不,您必须指定要使用的身份验证方法(通常是“基本”)和身份验证领域。有关示例请求和响应,请参阅 http://en.wikipedia.org/wiki/Basic_access_authentication。
您可能还想阅读RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication。
【讨论】:
当指示 HTTP 基本身份验证时,我们返回如下内容:
WWW-Authenticate: Basic realm="myRealm"
而Basic 是方案,其余部分在很大程度上取决于该方案。在这种情况下,领域只是为浏览器提供了一个文字,当提示输入用户 ID 和密码时可以向用户显示。
但是,您显然没有使用 Basic,因为使用 Basic Auth 时会话到期没有意义。我假设您正在使用某种形式的基于表单的身份验证。
回想起来,Windows Challenge Response 使用了不同的方案和不同的参数。
诀窍在于由浏览器决定它支持哪些方案以及如何响应它们。
如果您使用基于表单的身份验证,我的直觉是保留 200 + 重新登录页面,但添加浏览器将忽略但您的 AJAX 可以识别的自定义标题。
为了获得真正良好的用户 + AJAX 体验,让脚本挂起发现会话已过期的 AJAX 请求,通过弹出窗口触发重新登录请求,成功后,重新提交原始 AJAX 请求并继续正常。
避免只是让脚本每 5 分钟访问一次站点以保持会话活动的作弊,因为这只是破坏了会话到期点。
另一种选择是刻录 AJAX 请求,但这样的用户体验很差。
【讨论】:
当用户会话超时时,我会发回一个 HTTP 204 状态代码。请注意,HTTP 204 状态不包含任何内容。在客户端我这样做:
xhr.send(null);
if (xhr.status == 204)
Reload();
else
dropdown.innerHTML = xhr.responseText;
这里是 Reload() 函数:
function Reload() {
var oForm = document.createElement("form");
document.body.appendChild(oForm);
oForm.submit();
}
【讨论】: