ugrás a tartalomhoz

Lighttpd logout

valacska · 2010. Ápr. 19. (H), 22.07
Linux alatt futó lighttpd szerver alatt kellene megoldanom logout-ot. Jelenleg a szerver a 'lighttpd.user' állományt használja basic auth-hoz. A logout oldalt generáló logout.sh cgi script elején beállítom http headernek az alábbiakat:

HTTP/1.0 401 Unauthenticated
WWW-Authentication: Basic realm="Need Auth"

Kliens oldalon meg is jelenik az auth-ra szolgáló dialógus, de akár el is passzolhatom (cancel), mert utána mindennemű auth igény nélkül visszaléphetek az előző oldalra. Azaz, úgy tűnik, a lighttpd nem törli a megfelelő (user)cache tárolóit a http fejlécek hatására.
Van valamilyen megoldás?
Köszönöm, VV
 
1

Logout

Poetro · 2010. Ápr. 21. (Sze), 07.05
Ahogy az az Apache httpd dokumentációjában áll a böngészők nem implementálták ezt a feature-t.
Since browsers first started implementing basic authentication, website administrators have wanted to know how to let the user log out. Since the browser caches the username and password with the authentication realm, as described earlier in this tutorial, this is not a function of the server configuration, but is a question of getting the browser to forget the credential information, so that the next time the resource is requested, the username and password must be supplied again.
[...]
However, although this is perhaps the most frequently asked question about basic authentication, thus far none of the major browser manufacturers have seen this as being a desirable feature to put into their products.

A Wikipedia ide vágó fejezete is hasonlóról ír:
Existing browsers retain authentication information until the tab or browser is closed or the user clears the history. [1] HTTP does not provide a method for a server to direct clients to discard these cached credentials. This means that there is no effective way for a server to "log out" the user without closing the browser.