Как запретить браузеру вызывать базовое всплывающее окно аутентификации и обрабатывать ошибку 401 с помощью JQuery?

Question 1

Мне нужно отправить запрос на авторизацию, используя базовую аутентификацию. Я успешно реализовал это с помощью jquery. Однако, когда я получаю ошибку 401, открывается базовое всплывающее окно браузера auth, и обратный вызов ошибки jquery ajax не вызывается.

Question 2

Я тоже недавно столкнулся с этой проблемой. Поскольку вы не можете изменить поведение браузера по умолчанию, отображающее всплывающее окно в случае 401( базовой или дайджест- аутентификации), есть два способа исправить это:

Измените ответ сервера, чтобы он не возвращал 401. 200Вместо этого верните код и обработайте его в своем клиенте jQuery.
Измените метод, который вы используете для авторизации, на произвольное значение в заголовке. Браузеры будут отображать всплывающее окно для Basic и Digest . Вы должны изменить это как на клиенте, так и на сервере.
```
headers : {
  "Authorization" : "BasicCustom"
}
```

Также взгляните на это, чтобы увидеть пример использования jQuery с Basic Auth.

Question 3

Верните общий код состояния 400, а затем обработайте его на стороне клиента.

Или вы можете оставить 401 и не возвращать заголовок WWW-Authenticate, который на самом деле является тем, на что браузер отвечает всплывающим окном аутентификации. Если заголовок WWW-Authenticate отсутствует, браузер не запрашивает учетные данные.

Question 4

Вы можете подавить базовое всплывающее окно аутентификации, указав URL-адрес запроса следующим образом:

https://username:password@example.com/admin/...

Если вы получите ошибку 401 (неправильное имя пользователя или пароль), она будет правильно обработана с помощью обратного вызова ошибки jquery. Это может вызвать некоторые проблемы с безопасностью (в случае использования протокола http вместо https), но это работает.

UPD: поддержка этого решения будет удалена в Chrome 59

Question 5

Как указывали другие, единственный способ изменить поведение браузера - убедиться, что ответ либо не содержит код состояния 401, либо, если он есть, не включает WWW-Authenticate: Basicзаголовок. Поскольку изменение кода состояния не очень семантично и нежелательно, хорошим подходом является удалениеWWW-Authenticate заголовок. Если вы не можете или не хотите изменять приложение веб-сервера, вы всегда можете обслуживать или проксировать его через Apache (если вы еще не используете Apache).

Вот конфигурация для Apache, чтобы переписать ответ для удаления заголовка WWW-Authenticate. IFF, содержащий запрос, содержит заголовок X-Requested-With: XMLHttpRequest(который установлен по умолчанию основными фреймворками Javascript, такими как JQuery / AngularJS и т. Д.) И ответ содержит заголовок WWW-Authenticate: Basic.

Проверено на Apache 2.4 (не уверен, что он работает с 2.2). Это зависит от устанавливаемого mod_headersмодуля. (В Debian / Ubuntu sudo a2enmod headersи перезапустите Apache)

    <Location />
            # Make sure that if it is an XHR request,
            # we don't send back basic authentication header.
            # This is to prevent the browser from displaying a basic auth login dialog.
            Header unset WWW-Authenticate "expr=req('X-Requested-With') == 'XMLHttpRequest' && resp('WWW-Authenticate') =~ /^Basic/"
    </Location>

Question 6

Используйте X-Requested-With: XMLHttpRequest с заголовком запроса. Таким образом, заголовок ответа не будет содержать WWW-Authenticate: Basic.

beforeSend: function (xhr) {
                    xhr.setRequestHeader('Authorization', ("Basic "
                        .concat(btoa(key))));
                    xhr.setRequestHeader('X-Requested-With', 'XMLHttpRequest');
                },

Question 7

Если вы используете сервер IIS, вы можете настроить перезапись URL-адреса IIS (v2), чтобы переписать WWW-Authenticationзаголовок Noneна запрошенный URL-адрес.

Гид здесь .

Значение, которое вы хотите изменить, - response_www_authenticate.

Если вам нужна дополнительная информация, добавьте комментарий, и я отправлю файл web.config.

Question 8

Если заголовок WWW-Authenticate удален, вы не получите кеширование учетных данных и не получите обратно заголовок авторизации в запросе. Это означает, что теперь вам нужно будет вводить учетные данные для каждого нового запроса, который вы создаете.

Question 9

В качестве альтернативы, если вы можете настроить ответ сервера, вы можете вернуть 403 Forbidden.

Браузер не откроет всплывающее окно аутентификации, и будет вызван обратный вызов jquery.

Question 10

В Safari вы можете использовать синхронные запросы, чтобы браузер не отображал всплывающее окно. Конечно, синхронные запросы следует использовать только в этом случае для проверки учетных данных пользователя ... Вы можете использовать такой запрос перед отправкой фактического запроса, который может вызвать неудобства для пользователя, если контент (отправленный или полученный) довольно тяжелый.

    var xmlhttp=new XMLHttpRequest;
    xmlhttp.withCredentials=true;
    xmlhttp.open("POST",<YOUR UR>,false,username,password);
    xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
    xmlhttp.setRequestHeader('X-Requested-With', 'XMLHttpRequest');

Question 11

Создайте URL-адрес / login, а не принимайте параметры «пользователь» и «пароль» через GET и не требуйте базовой аутентификации. Здесь используйте php, node, java, что угодно и проанализируйте свой файл passwd и сопоставьте параметры (пользователь / пароль) с ним. Если есть совпадение, перенаправьте на http: // user: pass@domain.com/ (это установит учетные данные в вашем браузере), если нет, отправьте ответ 401 (без заголовка WWW-Authenticate).

Question 12

С обратной стороны с Spring Boot я использовал собственный BasicAuthenticationEntryPoint:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.cors().and().authorizeRequests()
            ...
            .antMatchers(PUBLIC_AUTH).permitAll()
            .and().httpBasic()
//    https://www.baeldung.com/spring-security-basic-authentication
            .authenticationEntryPoint(authBasicAuthenticationEntryPoint())
            ...

@Bean
public BasicAuthenticationEntryPoint authBasicAuthenticationEntryPoint() {
    return new BasicAuthenticationEntryPoint() {
        {
            setRealmName("pirsApp");
        }

        @Override
        public void commence
                (HttpServletRequest request, HttpServletResponse response, AuthenticationException authEx)
                throws IOException, ServletException {
            if (request.getRequestURI().equals(PUBLIC_AUTH)) {
                response.sendError(HttpStatus.PRECONDITION_FAILED.value(), "Wrong credentials");
            } else {
                super.commence(request, response, authEx);
            }
        }
    };
}

Answer 1

107

Мне нужно отправить запрос на авторизацию, используя базовую аутентификацию. Я успешно реализовал это с помощью jquery. Однако, когда я получаю ошибку 401, открывается базовое всплывающее окно браузера auth, и обратный вызов ошибки jquery ajax не вызывается.

javascript jquery rest basic-authentication Алексей Захаров
источник

1

Возможный дубликат Как я могу подавить диалог аутентификации браузера?

Кораем

Answer 2

1

Возможный дубликат Как я могу подавить диалог аутентификации браузера?

Кораем

Answer 3

46

Я тоже недавно столкнулся с этой проблемой. Поскольку вы не можете изменить поведение браузера по умолчанию, отображающее всплывающее окно в случае 401( базовой или дайджест- аутентификации), есть два способа исправить это:

Измените ответ сервера, чтобы он не возвращал 401. 200Вместо этого верните код и обработайте его в своем клиенте jQuery.
Измените метод, который вы используете для авторизации, на произвольное значение в заголовке. Браузеры будут отображать всплывающее окно для Basic и Digest . Вы должны изменить это как на клиенте, так и на сервере.
```
headers : {
  "Authorization" : "BasicCustom"
}
```

Также взгляните на это, чтобы увидеть пример использования jQuery с Basic Auth.

нвинклер
источник

10

WWW-Authenticate: xBasic realm = com.example может это сделать вместе с классическим кодом состояния 401. это сообщение в блоге показало мне подсказку (я не являюсь владельцем блога) loovchar.blogspot.ca/2010/11/…

PM

2

@PM, ответ блога - отличное решение. Обратите внимание, что при использовании <security:http-basic/>вам не нужно определять, basicAuthenticationFilterно следует определить его как <security:http-basic entry-point-ref="myBasicAuthenticationEntryPoint"/>.

Brett Ryan

Не могли бы вы рассказать мне, как переопределить ответ перед отправкой обратно клиенту, я использую jaxrs с базовой аутентификацией. какой класс мне нужно переопределить для изменения ответа?

Мохаммед Самин

По какой-то причине я получаю всплывающее окно, когда возвращаю a, 401и WWW-Authenticate:Bearer WWW-Authenticate:NTLM WWW-Authenticate:Negotiateзнаете ли вы, почему это должно быть

DevEng

Answer 4

10

WWW-Authenticate: xBasic realm = com.example может это сделать вместе с классическим кодом состояния 401. это сообщение в блоге показало мне подсказку (я не являюсь владельцем блога) loovchar.blogspot.ca/2010/11/…

PM

Answer 5

2

@PM, ответ блога - отличное решение. Обратите внимание, что при использовании <security:http-basic/>вам не нужно определять, basicAuthenticationFilterно следует определить его как <security:http-basic entry-point-ref="myBasicAuthenticationEntryPoint"/>.

Brett Ryan

Answer 6

Не могли бы вы рассказать мне, как переопределить ответ перед отправкой обратно клиенту, я использую jaxrs с базовой аутентификацией. какой класс мне нужно переопределить для изменения ответа?

Мохаммед Самин

Answer 7

По какой-то причине я получаю всплывающее окно, когда возвращаю a, 401и WWW-Authenticate:Bearer WWW-Authenticate:NTLM WWW-Authenticate:Negotiateзнаете ли вы, почему это должно быть

DevEng

Answer 8

34

Верните общий код состояния 400, а затем обработайте его на стороне клиента.

Или вы можете оставить 401 и не возвращать заголовок WWW-Authenticate, который на самом деле является тем, на что браузер отвечает всплывающим окном аутентификации. Если заголовок WWW-Authenticate отсутствует, браузер не запрашивает учетные данные.

Ибрагим
источник

6

@MortenHaraldsen Что ж, ответ 401 является правильным ответом в этом случае, проблема в том, что браузер автоматически обрабатывает это изначально, вместо того, чтобы разрешать приложению javascript обрабатывать его. Вы можете придерживаться стандарта, не возвращая правильный ответ, рекомендованный стандартом, или можете отказаться от него, вернув код ответа, рекомендованный стандартом. Выбирайте :)

Ибрагим

В моем экспресс-приложении я исправил это одной строкой: res.removeHeader('www-authenticate'); // prevents browser from popping up a basic auth window.

gstroup

1

@Ibraheem, я не мог бы сказать лучше. Стандарты создаются людьми, которые садятся и разговаривают, не обязательно теми, кто садится и кодирует.

user2867288 01

Answer 9

6

@MortenHaraldsen Что ж, ответ 401 является правильным ответом в этом случае, проблема в том, что браузер автоматически обрабатывает это изначально, вместо того, чтобы разрешать приложению javascript обрабатывать его. Вы можете придерживаться стандарта, не возвращая правильный ответ, рекомендованный стандартом, или можете отказаться от него, вернув код ответа, рекомендованный стандартом. Выбирайте :)

Ибрагим

Answer 10

В моем экспресс-приложении я исправил это одной строкой: res.removeHeader('www-authenticate'); // prevents browser from popping up a basic auth window.

gstroup

Answer 11

1

@Ibraheem, я не мог бы сказать лучше. Стандарты создаются людьми, которые садятся и разговаривают, не обязательно теми, кто садится и кодирует.

user2867288 01

Answer 12

15

Вы можете подавить базовое всплывающее окно аутентификации, указав URL-адрес запроса следующим образом:

https://username:password@example.com/admin/...

Если вы получите ошибку 401 (неправильное имя пользователя или пароль), она будет правильно обработана с помощью обратного вызова ошибки jquery. Это может вызвать некоторые проблемы с безопасностью (в случае использования протокола http вместо https), но это работает.

UPD: поддержка этого решения будет удалена в Chrome 59

Иван Самовар
источник

УДИВИТЕЛЬНЫЙ!!!! Решил мою проблему, так как проблема заключалась в попытке 192.168.1.1, а маршрутизатор продолжал запрашивать аутентификацию.

Надав Лебович

Если вы перейдете на вкладку «Сеть» в инструментах разработчика в любом браузере, вы сможете прочитать имя пользователя и пароль в виде обычного текста. Но это работает.

Бруно Фингер,

19

Никогда не делайте этого, пожалуйста, журналы запросов на вашем веб-сервере сейчас для меня гораздо более ценны .. Бесплатные комбинации имен пользователей и паролей плюс код ответа! Спасибо

Remco

но как можно предотвратить просмотр имени пользователя и пароля

sdx11

3

Этот метод аутентификации становится устаревшим, и Chrome прекращает поддержку встроенных учетных данных, например, https://user:pass@host/в M59 примерно в июне 2017 года. Дополнительную информацию см. В этом сообщении блога chromestatus .

Garywoo

Answer 13

УДИВИТЕЛЬНЫЙ!!!! Решил мою проблему, так как проблема заключалась в попытке 192.168.1.1, а маршрутизатор продолжал запрашивать аутентификацию.

Надав Лебович

Answer 14

Если вы перейдете на вкладку «Сеть» в инструментах разработчика в любом браузере, вы сможете прочитать имя пользователя и пароль в виде обычного текста. Но это работает.

Бруно Фингер,

Answer 15

19

Никогда не делайте этого, пожалуйста, журналы запросов на вашем веб-сервере сейчас для меня гораздо более ценны .. Бесплатные комбинации имен пользователей и паролей плюс код ответа! Спасибо

Remco

Answer 16

но как можно предотвратить просмотр имени пользователя и пароля

sdx11

Answer 17

3

Этот метод аутентификации становится устаревшим, и Chrome прекращает поддержку встроенных учетных данных, например, https://user:pass@host/в M59 примерно в июне 2017 года. Дополнительную информацию см. В этом сообщении блога chromestatus .

Garywoo

Answer 18

Как указывали другие, единственный способ изменить поведение браузера - убедиться, что ответ либо не содержит код состояния 401, либо, если он есть, не включает WWW-Authenticate: Basicзаголовок. Поскольку изменение кода состояния не очень семантично и нежелательно, хорошим подходом является удалениеWWW-Authenticate заголовок. Если вы не можете или не хотите изменять приложение веб-сервера, вы всегда можете обслуживать или проксировать его через Apache (если вы еще не используете Apache).

Вот конфигурация для Apache, чтобы переписать ответ для удаления заголовка WWW-Authenticate. IFF, содержащий запрос, содержит заголовок X-Requested-With: XMLHttpRequest(который установлен по умолчанию основными фреймворками Javascript, такими как JQuery / AngularJS и т. Д.) И ответ содержит заголовок WWW-Authenticate: Basic.

Проверено на Apache 2.4 (не уверен, что он работает с 2.2). Это зависит от устанавливаемого mod_headersмодуля. (В Debian / Ubuntu sudo a2enmod headersи перезапустите Apache)

    <Location />
            # Make sure that if it is an XHR request,
            # we don't send back basic authentication header.
            # This is to prevent the browser from displaying a basic auth login dialog.
            Header unset WWW-Authenticate "expr=req('X-Requested-With') == 'XMLHttpRequest' && resp('WWW-Authenticate') =~ /^Basic/"
    </Location>

Answer 19

1

Чтобы сделать то же самое с Nginx, установитеproxy_hide_header WWW-Authenticate;

Cuga

Answer 20

7

Используйте X-Requested-With: XMLHttpRequest с заголовком запроса. Таким образом, заголовок ответа не будет содержать WWW-Authenticate: Basic.

beforeSend: function (xhr) {
                    xhr.setRequestHeader('Authorization', ("Basic "
                        .concat(btoa(key))));
                    xhr.setRequestHeader('X-Requested-With', 'XMLHttpRequest');
                },

Седху
источник

1

На меня это не подействовало. Какой тип сервера вы используете, что WWW-аутентификация не отправляется, когда вы устанавливаете XMLHttpRequest?

Роберт Антонуччи

@RobertAntonucci, это apache tomcat

sedhu

Answer 21

1

На меня это не подействовало. Какой тип сервера вы используете, что WWW-аутентификация не отправляется, когда вы устанавливаете XMLHttpRequest?

Роберт Антонуччи

Answer 22

@RobertAntonucci, это apache tomcat

sedhu

Answer 23

Если вы используете сервер IIS, вы можете настроить перезапись URL-адреса IIS (v2), чтобы переписать WWW-Authenticationзаголовок Noneна запрошенный URL-адрес.

Гид здесь .

Значение, которое вы хотите изменить, - response_www_authenticate.

Если вам нужна дополнительная информация, добавьте комментарий, и я отправлю файл web.config.

Answer 24

1

Это отлично сработало. Я хотел бы отметить, что часть «ответ» должна быть записана как «RESPONSE_www_authenticate» в URL Rewrite v2 на IIS 7.5.

Майкл Фриман,

Answer 25

Если заголовок WWW-Authenticate удален, вы не получите кеширование учетных данных и не получите обратно заголовок авторизации в запросе. Это означает, что теперь вам нужно будет вводить учетные данные для каждого нового запроса, который вы создаете.

Answer 26

Это очень важно, абсолютно точно.

Tez Wingfield

Answer 27

2

В качестве альтернативы, если вы можете настроить ответ сервера, вы можете вернуть 403 Forbidden.

Браузер не откроет всплывающее окно аутентификации, и будет вызван обратный вызов jquery.

Хавьер Ферреро
источник

5

Это противоречит спецификации HTTP 1.1, где сказано, что «... Авторизация не поможет и запрос НЕ ДОЛЖЕН повторяться».

Юкка Дальбом

1

Допустимо получение 403 во время аутентификации для ресурсов, к которым вам не разрешен доступ, 401 следует отправлять туда, где вы еще не прошли аутентификацию.

Brett Ryan

Answer 28

5

Это противоречит спецификации HTTP 1.1, где сказано, что «... Авторизация не поможет и запрос НЕ ДОЛЖЕН повторяться».

Юкка Дальбом

Answer 29

1

Допустимо получение 403 во время аутентификации для ресурсов, к которым вам не разрешен доступ, 401 следует отправлять туда, где вы еще не прошли аутентификацию.

Brett Ryan

Answer 30

В Safari вы можете использовать синхронные запросы, чтобы браузер не отображал всплывающее окно. Конечно, синхронные запросы следует использовать только в этом случае для проверки учетных данных пользователя ... Вы можете использовать такой запрос перед отправкой фактического запроса, который может вызвать неудобства для пользователя, если контент (отправленный или полученный) довольно тяжелый.

    var xmlhttp=new XMLHttpRequest;
    xmlhttp.withCredentials=true;
    xmlhttp.open("POST",<YOUR UR>,false,username,password);
    xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
    xmlhttp.setRequestHeader('X-Requested-With', 'XMLHttpRequest');

Answer 31

В других контекстах также может помочь использование OPTIONS вместо POST.

Эммануэль Селье

Answer 32

Создайте URL-адрес / login, а не принимайте параметры «пользователь» и «пароль» через GET и не требуйте базовой аутентификации. Здесь используйте php, node, java, что угодно и проанализируйте свой файл passwd и сопоставьте параметры (пользователь / пароль) с ним. Если есть совпадение, перенаправьте на http: // user: pass@domain.com/ (это установит учетные данные в вашем браузере), если нет, отправьте ответ 401 (без заголовка WWW-Authenticate).

Answer 33

Это было бы супер-здорово для любого, кто пытается вынюхать имя пользователя / пароли из простого текстового человека в середине атаки!

Ajax

Answer 34

С обратной стороны с Spring Boot я использовал собственный BasicAuthenticationEntryPoint:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.cors().and().authorizeRequests()
            ...
            .antMatchers(PUBLIC_AUTH).permitAll()
            .and().httpBasic()
//    https://www.baeldung.com/spring-security-basic-authentication
            .authenticationEntryPoint(authBasicAuthenticationEntryPoint())
            ...

@Bean
public BasicAuthenticationEntryPoint authBasicAuthenticationEntryPoint() {
    return new BasicAuthenticationEntryPoint() {
        {
            setRealmName("pirsApp");
        }

        @Override
        public void commence
                (HttpServletRequest request, HttpServletResponse response, AuthenticationException authEx)
                throws IOException, ServletException {
            if (request.getRequestURI().equals(PUBLIC_AUTH)) {
                response.sendError(HttpStatus.PRECONDITION_FAILED.value(), "Wrong credentials");
            } else {
                super.commence(request, response, authEx);
            }
        }
    };
}

Как запретить браузеру вызывать базовое всплывающее окно аутентификации и обрабатывать ошибку 401 с помощью JQuery?

Ответы: