Я искал вокруг и, похоже, не является хакерским способом очистки учетных данных пользователя из браузера с использованием базовой проверки подлинности.Регистрация пользователей с базовой аутентификацией?
Я создаю WebAPI с HTML-клиентом, который принимает имя пользователя/пароль - если пользователь входит в систему, они также должны быть в состоянии выйти из системы, или система должна автоматически выйти из системы через определенный период времени.
Есть ли стандартный способ выполнить это с помощью Basic Auth (через SSL) или я должен начать изучать другие формы аутентификации?
Редактировать: глядя в SimpleMembershipProvider, будет ли что-либо «неправильным» с расширением таблицы Membership с помощью свойства IsLoggedIn, которое я могу переключать и проверять с каждым запросом? Если они выходят из системы, то я перенаправляюсь на страницу входа и возвращаю 401 Unauthorized, если они не отправят свои учетные данные снова. Звучит это нормально?
Got it. Похоже, что обычная проверка подлинности не является хорошим решением для обеспечения безопасности WebAPI с HTTP/JS-клиентами. Согласитесь? – SB2055
Да, есть ограничения. Лично я буду избегать Basic authn с клиентами браузера не только из-за отсутствия способа выхода из системы, но и из-за потенциальных проблем XSRF. Но я не буду говорить, что базовая аутентификация просто плохая. Он имеет несколько характеристик, о которых нужно знать и работать соответственно. – Badri
Вы пытаетесь перенаправить код статуса 302 и предоставить недопустимые учетные данные пользователя в перенаправленном URL-адресе. – manuc66