אימות מובנה בכניסה לדף

מנצפך

מצוי כשנכנסים לראוטר, שקופצת הודעה מובנית בדפדפן שמבקשת שם משתמש וסיסמא.
איך זה מתבצע?
זה JS? או ברמת ה respone?

clickone

@מנצפך לכאורה תלוי באיזה פריימוורק.
אבל בגדול זה ברמת הריספונס.

מנצפך

@clickone אני מדבר על משהו מאוד בסיסי שלדעתי לא מצריך אפילו JS.
אצרף תמונה:

clickone

@מנצפך ברמת הרספונס....
כשכתבת ראוטר... אני בראש שלי הלכתי לראוטר של כתובות

dovid

זה נקרא basic authentication, וזה עובד ברמת הResponse.
השרת מגיב 401 שזה לא מורשה + כותרת:
WWW-Authenticate: Basic

הדפדפן מקפיץ את ההודעה שדרושה סיסמה, ואז הדפדפן מקודד את השם והסיסמה לbase64, ושולח את זה בכותרת בשם Authorization בכל בקשה ובקשה.
https://en.wikipedia.org/wiki/Basic_access_authentication

מנצפך

@dovid תודה.
אגב אם אני סוגר את הדף ופותח אותו הוא שולח שוב את ה Headers?

מנצפך

התשובה (שם המשתמש וסיסמא) נשלחים לשרת בסטירנג אחד מופרדים ב : (לאחר המרה מ base 64).
אבל מה עושים עם שם המשתמש ו/או הסיסמא מכילים בעצמם :.
לדוגמא:
MTI6MzQ6NDU6Nzk=
?

מנצפך

אני רואה בויקיפדיה שזה אומר ששם המשתמש לא יכול להכיל :

dovid

@מנצפך אמר באימות מובנה בכניסה לדף:

@dovid תודה.
אגב אם אני סוגר את הדף ופותח אותו הוא שולח שוב את ה Headers?

התנהגות הדפדפן היא למחוק את המידע תוך כמה דקות מהפעילות האחרונה.
דפדפן דפוק לא בהכרח יעשה כך וממילא זה סיכון אבטחה שמישהו יבוא ארבע שעות אחריך ויידע את הסיסמה.