TheRoSS14 фев 2020 в 12:31

Релогин и HTTP Basic Auth

5 мин

73K

Комментарии 16

dmitriym09 14 фев 2020 в 14:22

Я в таких ситуациях (Basic, NTLM etc...) всегда решал данную проблему на сервере — по API токен помечал как отозванный. В сторону браузера даже не смотрел — спасибо за интересную статью. Но, наверное, продолжу решать данную проблему на бэкенде.

TheRoSS 17 фев 2020 в 09:48

Тут вопрос то не в том, где правильнее логаут делать: на клиенте или сервере. Логаут — это прежде всего серверное действие. Но клиент его тоже должен отрабатывать правильно
В нашем случае мы работаем со сторонним бэкендом, графаной. В этом случае возможности чисто серверной реализации сильно ограничены

0x131315 15 фев 2020 в 07:21

Тоже недавно столкнулся.
Поменяли пароль для basic, хром в xhr запросах
в url упорноо подставляет старый пароль, не смотря на то, что на сайт уже вошёл с новым через ввод в форму браузера.
Помогает только вручную вписать логин/пароль в url — только тогда кеш обновляется, и в xhr начинает уходить новый пароль.
Странно что нативная форма basic-авторизации не сбрасывает кеш — забыли добавить событие в хроме.
Нативная форма пишет хэш в заголовки, а кеш реагирует только на url.

maxzhurkin 15 фев 2020 в 20:45

~~Минздрав СССР предупреждает~~ Специалисты по ИБ предупреждают: использование Basic Auth не защищает пароль от MITM

edo1h 16 фев 2020 в 09:49

даже в случае https?

maxzhurkin 16 фев 2020 в 13:15

Ну так в случае HTTPS защиту обеспечивает SSL/TLS, а не Basic Auth

edo1h 16 фев 2020 в 14:04

и что? нам так важно кто именно обепспечивает защиту? или то, что защита обеспечена?
что же до HTTP — MITM тут может наделать кучу бед и без раскрытия пароля.

maxzhurkin 16 фев 2020 в 14:35

Посчитал своим долгом предупредить. Кто виноват и что делать, каждый решает сам, пользуясь своими интеллектуальными ресурсами самостоятельно

vvzvlad 15 апр в 13:11

Выбирают в колхозе нового председателя:
— Мы все давно знаем Михалыча как честного человека, предлагаю выбрать его!
Все хором:
— Да, давайте выберем Михалыча!
Встаёт сторож Петрович:
— Вот вы хотите Михалыча выбрать, а, между прочим, у него дочь — проститутка! Нехорошо как–то!
Все хором:
— Нехорошо!
Встаёт Михалыч:
— Ну как же так! Вы же все меня знаете с самого детства! Я всю жизнь прожил в колхозе! У меня три сына и никогда не было дочери!
Все хором:
— Действительно, Петрович, а как же так?!
Сторож Петрович (пожимая плечами):
— Ну не знаю, я свое мнение высказал, а вы сами решайте!

TheRoSS 17 фев 2020 в 09:53

В чистом виде её обычно никто и не использует

maxzhurkin 17 фев 2020 в 16:22

Не все руководствуются разумными принципами, к сожалению

TheRoSS 20 фев 2020 в 09:16

Значит им настоящая безопасность по большому счёту не нужна. Те, кому безопасность действительно нужна, как минимум читают документацию. Много документации)

maxzhurkin 21 фев 2020 в 03:46

Для части их них можно надеяться, что они образумятся и перейдут на светлую сторону

RekGRpth 16 фев 2020 в 08:56

можно сделать basic-авторизацию через форму и тогда легко разлогинивать

maxzhurkin 16 фев 2020 в 13:21

В пространстве терминов HTTP нет термина «форма», ЕМНИП.
А HTTP используется не только для передачи HTML

TheRoSS 17 фев 2020 в 10:07

Ваше решение под капотом использует куки. Авторизоваться через куки можно и без использования basic-авторизации. Здесь речь о ситуациях, когда ни куки, ни oauth, ни что-то ещё подобное не доступно.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий