¿Cómo desconectarse cuando se utiliza la autenticación .htaccess (y .htpasswd)?

Question

Duplicar posible:
HTTP authentication logout via PHP

Hola

tengo una cierta funcionalidad en mi sitio web protegido mediante .htaccess y .htpasswd. Cuando los usuarios intentan acceder a este, reciben un mensaje rápido para ingresar detalles. Ingresan sus detalles y entran y pueden ver cosas, etc. Todo funciona bien.

Mi pregunta es cómo puedo crear una funcionalidad logout para este tipo de autenticación. Sé que pueden cerrar la ventana del navegador para "Cerrar sesión". Pero esto no es ideal. ¿Qué me recomendarías?

Gracias.

Answer 1

navegadores por lo general no son compatibles con este tema, consulte How do I log out?

Dado que los navegadores empezaron implementar la autenticación básica, administradores de sitios web han querido sabe cómo hacer que la sesión del usuario. Desde el navegador almacena en caché el nombre de usuario y contraseña con el dominio de autenticación , tal como se describe anteriormente en este tutorial, esto no es una función de la configuración del servidor, pero es una pregunta de conseguir que el navegador olvidar la información de credenciales , entonces que la próxima vez que se solicite el recurso , el nombre de usuario y la contraseña se deben volver a suministrar. Hay numerosas situaciones en las que esto es deseables, tales como cuando se utiliza un navegador en un lugar público, y no que desean salir del navegador registra en , para que la próxima persona puede obtener en su cuenta bancaria.

Sin embargo, aunque esto es quizás el pregunta más frecuente sobre autenticación básica, hasta el momento ninguno de los principales fabricantes de navegadores tienen visto esto como una característica deseable poner en sus productos.

En consecuencia, la respuesta a esta pregunta es, no se puede. Lo siento.

Existen extensiones de navegador que le permiten borrar la autenticación HTTP de un sitio. Para Firefox, la extensión WebDeveloper (que es una de mis extensiones preferidas de todos modos) ofrece esta característica. El menú para esto es Miscellaneous/Clear Private Data/HTTP Authentication.

Answer 2

Probado en firefox y cromo. Lo que puede hacer es enviar al usuario al http://logout:logout@example.com. Esto reemplazará su nombre de usuario/contraseña actual con logout/logout (podría ser cualquier combinación de usuario/pase inválida) y dado que ahora tienen el nombre de usuario/contraseña incorrectos, tendrán que iniciar sesión de nuevo para acceder al sitio.

En ópera esto no funciona, porque puede tener varios nombres de usuario/contraseñas al mismo tiempo. Tampoco funcionó en IE porque IE no parece ser compatible con las URL http://username:password@example.com.

Answer 3

Es posible cerrar la sesión. Debe implementar la página de cierre de sesión, que devolverá el HTTP 401, hasta que el usuario ingrese la información de inicio de sesión BAD y luego lo redireccione a otro lugar. El navegador recuerda la última información de inicio de sesión aceptada y, por lo tanto, anula el inicio de sesión correcto.

Pero esto es inutilizable, porque necesita la cooperación del usuario.

Answer 4

Me encontré con este problema hace varios años. Es increíblemente frustrante descubrir que hay un problema que todos tienen y nadie parece querer resolverlo de manera general.

Como se indica en Inadequate Logout functionality in HTTP Authentication Creo que la respuesta es cambiar el RFC para permitir tiempos de espera y admitir un botón de cerrar sesión. La sugerencia adicional del autor de que el servidor pueda enviar un encabezado "desconectarse" en realidad eliminaría la necesidad de cualquier soporte de agente de usuario cliente ya que los sitios web podrían simplemente incluir un enlace en una página web a una URL que devuelva el código de respuesta necesario y/o encabezado para invalidar la sesión actual.