Logout mit http-basic-authentication und restful_authentication-plugin

Habe ich das restful_authentication-plugin installiert in eine rails-app, mit sessions_controller, hat eine destroy-Methode wie diese:

def destroy
  self.current_user.forget_me if logged_in?
  cookies.delete :auth_token
  reset_session
  flash[:notice] = "You have been logged out."
  redirect_back_or_default('/')
end

In der Anwendung-controller ich habe:

before_filter :login_required

Und In der sessions_controller ich habe:

skip_before_filter :login_required

Mein problem ist, dass wenn ein Benutzer die Authentifizierung mit http basic authentication, die er/Sie nicht angemeldet ist. die session zerstört wird, aber der Benutzer ist in der Lage, navigieren zu eingeschränkten Seiten mit kein problem. Dieses problem tritt nicht mit session-Authentifizierung durch das plugin. Wie kann ich diese Methode loszuwerden, die grundlegende authenication?

Sitzungen sind nicht Erholsam.

InformationsquelleAutor Chris Drappier | 2009-03-18

  1. 13

    Nichts getan werden kann, server-Seite auf "Abmelden", die ein Benutzer in dieser situation. Wenn der Benutzer sich durch basic-Authentifizierung, die der browser speichert den Authentifizierungs-Daten, und sendet den authentication Parameter, die über den http-Header mit jeder Anfrage. wenn sich die Benutzer mit basic-auth, er/Sie wird seine/Ihre browser-Fenster auf "Abmelden".

    Das ist ein bisschen ein hack, aber es ist mein problem gelöst. Leiten Sie den Benutzer auf eine URL mit einer schlechten Benutzer-ID eingebettet. stackoverflow.com/questions/5957822/...
    Snekse Vorschlag aus dem anderen, SO Frage war für mich, wie gut.

    InformationsquelleAutor Chris Drappier

  2. 4

    Ich gefunden habe, eine durchaus interessante Art und Weise, dies zu überwinden, indem eine session variable zu merken, welcher Benutzer abgemeldet hat. Die Idee ist, dass, obwohl der browser ist immer noch sendet Authentifizierungs-Daten, wir sind nur zu ignorieren, weil der user wählte, um sich abzumelden. Immer wenn eine neue login-Anfrage an den browser gesendet wird, werden alle Authentifizierungs-Daten gelöscht, so dass der Benutzer in der Lage ist, melden Sie sich wieder, in jeder Zeit.

    class ApplicationController < ActionController::Base
  # ...

  before_filter :authenticate

  protected

  def authenticate
    authenticate_with_http_basic do |username, password|
      @current_user = User.find_by_name_and_crypted_password(username, User.digest(password))
      @current_user = nil if @current_user && session[:logged_out] == @current_user.id
      !@current_user.nil?
    end
  end

  def authenticate!
    return if @current_user
    session[:authenticate_uri] = request.request_uri
    redirect_to('/login')
  end
end

    Dann auf der controller-events, die ich tun: 

    class EventsController < ApplicationController
  before_filter :authenticate!, :only => [ :new, :create, :edit, :update ]
  #...
end

    Und endlich meine session controller sieht wie folgt aus:

    class SessionController < ApplicationController
  before_filter :authenticate!, :only => [ :create ]

  def create
    if session[:authenticate_uri]
      redirect_to(session[:authenticate_uri])
      session[:authenticate_uri] = nil
    else
      redirect_to(new_event_path)
    end
  end

  def destroy
    session[:logged_out] = @current_user.id
    redirect_to '/'
  end

  protected

  def authenticate!
    authenticate_or_request_with_http_basic("Rankings") do |username, password|
      @current_user = User.find_by_name_and_crypted_password(username, User.digest(password))
      if @current_user && session[:logged_out] == @current_user.id
        @current_user = nil
        session[:logged_out] = nil
      end
      !@current_user.nil?
    end
  end

end

    Und vergessen Sie nicht, Ihre Routen!

      map.logout 'login', :controller => 'session', :action => 'create'
  map.logout 'logout', :controller => 'session', :action => 'destroy'
    danke. du bist genial

    InformationsquelleAutor Mihai Alexandru Bîrsan

  3. 2

    Funktioniert dies nur für den IE 6 SP1+:

    javascript:void(document.execCommand('ClearAuthenticationCache', false));

    http://msdn.microsoft.com/en-us/library/ms536979(VS.85).aspx

    Beachten Sie, dass hiermit löschen Sie den cache für alle Websites, die der Benutzer gerade eingeloggt ist (innerhalb der gleichen IE-Instanz).

    InformationsquelleAutor Andrew Livesay

  4. 1

    Hmm, es klingt wie der client-browser ist nur das Zwischenspeichern der HTTP-Basic-Auth-credentials und re-senden Sie jedes mal. In dem Fall haben Sie keine Kontrolle hat. Die Aktionen, die Sie wollen geschützt werden, geschützt werden müssen mit der richtigen before_filter für die restful_authentication-plugin, das sollte

    require_authentication

    Also in Ihrem controller, den Sie hätte

    before_filter :require_authentication

    HTTP-Authentifizierung ist zustandslos, das heißt, die server keine Spur von einem authentifizierten "Sitzung" - so der AUFTRAGGEBER hat es jedes mal (daher die häufige checkbox "speichern Sie diese Anmeldeinformationen'), es gibt also keine Möglichkeit für den server zu deaktivieren Sie die client-Anmeldeinformationen. Dies ist Teil der Spezifikation. Siehe den Wikipedia-Eintrag

    http://en.wikipedia.org/wiki/Basic_access_authentication

    Insbesondere, Blick auf die "Nachteile" Abschnitt.

    bearbeitet den code zu zeigen, der vor dem Filter habe ich

    InformationsquelleAutor Cody Caughlan

  5. 1

    Ich gerade aktualisiert login_from_basic_auth in authenticated_sytem zu Lesen:

        def login_from_basic_auth
      false
#      authenticate_with_http_basic do |login, password|
#        self.current_user = User.authenticate(login, password)
#      end
    end
    das problem bei dieser Lösung ist, dass es einfach deaktiviert die http-basic-Authentifizierung, die ist nicht das, was ich tun möchte. auch, wenn Sie wollen, schalten Sie basic auth so, Sie sollten entfernen Sie den Aufruf dieser Methode innerhalb def current_user eher als das schreiben.

    InformationsquelleAutor user83682

  6. 1

    Einen Weg, um dies zu beheben, deaktivieren Sie die "basic http authentication" völlig

    Aber brauchen wir für eine gute user-experience während der Ajax-Aktionen, so aktivieren wir diese Authentifizierung nur für ajax-Aktionen

    def login_from_basic_auth

  return false unless request.xhr?

   authenticate_with_http_basic do |login, password|
     self.current_user = User.authenticate(login, password)
   end
end

    InformationsquelleAutor Satya

  7. 1

    Ich weiß, bisschen nach party, aber Wenn Sie wollen, Abmeldung Sie können render-401.

    also logout-Methode könnte wie folgt aussieht:

    def logout
  render :logout, status: 401
end

    Ihrem erholsamen Aktion könnte wie folgt aussieht:

    def destroy
  self.current_user.forget_me if logged_in?
  cookies.delete :auth_token
  reset_session
  redirect_to '/', status: 401, flash: "You have been logged out."
end

    - und browser-zu erhöhen wird die http-basic-Authentifizierung wieder

    InformationsquelleAutor Richard

Schreibe einen Kommentar