BASIC认证方式的“麻烦事”

BASIC方式很简单，而且也符合REST的无状态理论。但现在碰到一个新问题，就是我不想在那个很丑陋单调的对话框里输入用户名和密码，于是我搞了一个 Form来提交用户名和密码，当然要使用BASE64造成和那个对话框输入的一样的Authorization的Header(Basic xxxxxxxxxx), 这些都很简单,也能正常通过认证。但是由于我没有在那个对话框里输入用户名和密码，所以浏览器并不知道我的用户名和密码是什么，从而造成我这种方式不能让浏览器在后续的请求中自动带上我造的那个Authorization头，这样麻烦就来了，我每次都自己造那个头，然后set到请求的Header里。而这样做是非常不方便。各位看谁有办法解决这个问题？也不知道浏览器是怎么存储我在那个对话框里输入的用户名和密码的？

因为REST提倡传输credential, 而不是SESSIONID. 因为通常是把用户信息存储在Session里的，但这是一种有状态方式，不是RESTful。 RESTful框架提倡在Request里传输Credential, 而BASIC和DIGEST（Digest认证方式好像也不是真正无状态，我忘记具体是怎么样的了，他好像要在服务器存储一个Nonce。 并且不是所有浏览器支持的）两种认证方法最适合了。而BASIC方法最简便，但是如果安全传输Credential就成了第二个问题。


继续研究。。。。

评论

1 楼 wingwing 2009-09-17  

你可以在cookie里缓存那个Header的session ID。一般弹出对话框的就是basic或者digest，Form会返回一个输入用户名和密码的页面。