TheRoSS Feb 14 2020 at 15:31

Релогин и HTTP Basic Auth

5 min

57K

Website development*JavaScript*

+11

Comments 15

dmitriym09 Feb 14 2020 at 17:22

Я в таких ситуациях (Basic, NTLM etc...) всегда решал данную проблему на сервере — по API токен помечал как отозванный. В сторону браузера даже не смотрел — спасибо за интересную статью. Но, наверное, продолжу решать данную проблему на бэкенде.

TheRoSS Feb 17 2020 at 12:48

Тут вопрос то не в том, где правильнее логаут делать: на клиенте или сервере. Логаут — это прежде всего серверное действие. Но клиент его тоже должен отрабатывать правильно
В нашем случае мы работаем со сторонним бэкендом, графаной. В этом случае возможности чисто серверной реализации сильно ограничены

0x131315 Feb 15 2020 at 10:21

Тоже недавно столкнулся.
Поменяли пароль для basic, хром в xhr запросах
в url упорноо подставляет старый пароль, не смотря на то, что на сайт уже вошёл с новым через ввод в форму браузера.
Помогает только вручную вписать логин/пароль в url — только тогда кеш обновляется, и в xhr начинает уходить новый пароль.
Странно что нативная форма basic-авторизации не сбрасывает кеш — забыли добавить событие в хроме.
Нативная форма пишет хэш в заголовки, а кеш реагирует только на url.

maxzhurkin Feb 15 2020 at 23:45

~~Минздрав СССР предупреждает~~ Специалисты по ИБ предупреждают: использование Basic Auth не защищает пароль от MITM

-1

edo1h Feb 16 2020 at 12:49

даже в случае https?

maxzhurkin Feb 16 2020 at 16:15

Ну так в случае HTTPS защиту обеспечивает SSL/TLS, а не Basic Auth

-1

edo1h Feb 16 2020 at 17:04

и что? нам так важно кто именно обепспечивает защиту? или то, что защита обеспечена?
что же до HTTP — MITM тут может наделать кучу бед и без раскрытия пароля.

maxzhurkin Feb 16 2020 at 17:35

Посчитал своим долгом предупредить. Кто виноват и что делать, каждый решает сам, пользуясь своими интеллектуальными ресурсами самостоятельно

-1

TheRoSS Feb 17 2020 at 12:53

В чистом виде её обычно никто и не использует

maxzhurkin Feb 17 2020 at 19:22

Не все руководствуются разумными принципами, к сожалению

TheRoSS Feb 20 2020 at 12:16

Значит им настоящая безопасность по большому счёту не нужна. Те, кому безопасность действительно нужна, как минимум читают документацию. Много документации)

maxzhurkin Feb 21 2020 at 06:46

Для части их них можно надеяться, что они образумятся и перейдут на светлую сторону

RekGRpth Feb 16 2020 at 11:56

можно сделать basic-авторизацию через форму и тогда легко разлогинивать

maxzhurkin Feb 16 2020 at 16:21

В пространстве терминов HTTP нет термина «форма», ЕМНИП.
А HTTP используется не только для передачи HTML

-1

TheRoSS Feb 17 2020 at 13:07

Ваше решение под капотом использует куки. Авторизоваться через куки можно и без использования basic-авторизации. Здесь речь о ситуациях, когда ни куки, ни oauth, ни что-то ещё подобное не доступно.

Show the best of all time