我维护一个网站,使用基本身份validation,以防止外部用户查看它(这是一个阶段/testing环境向互联网开放)。 该网站可通过不安全(HTTP)连接与某些需要安全(HTTPS)连接的页面(如login/registry单)。 该网站有一个单独的基于cookie的login,但这是自定义的,不使用任何框架提供的API(IE窗体身份validation)
在此环境下,当用户通过不安全的连接成功login到站点主页时,点击链接打开安全页面,系统会提示用户通过基本身份validation重新login。 我的客户要求删除第二个日志。
有没有办法使基本身份validation保持跨协议交换(HTTP – > HTTPS)而不需要再次login?
没有。
由于您的URL正在更改,您的浏览器将停止发送Authorization:标头,即使通过HTTP和HTTPS的领域可能相同。
由于基本身份validation发送明文凭证,因此最佳做法是将所有用户通过基本身份validation访问“受保护”的URL空间redirect到HTTPS。
你可以尝试像ADFS或TMG(或类似的产品),以获得“单一login”function。
build议不要使用基于HTTP的基本身份validation。