우리는 JAVA 웹 응용 프로그램에 CAS 서버를 사용하고 있습니다. 인증 시스템은 다음과 같다 :Single Sign On 패러다임은 HTTP 프로토콜 규칙을 준수합니까?
는- 사용자가 시스템의 리소스 (1)에 액세스하려고
- 이 얻을 리디렉션 (302 발견)
- 사용자는 사용자 이름 암호를 입력
- 서버가 쿠키로 응답하고 원래 페이지로 리디렉션됩니다 (1)
이 상호 작용이 H를 존중한다는 사실에 대해 논했습니다. TTP 프로토콜.
나는 자원 에 액세스 할 수있는 권한이없는 경우해야하지 않는 401 권한 또는 더 나은 407 프록시 인증 필요와 시스템 대답?
인증 리소스는 쿠키 문자열 대신 전체 SSL 수준 인증 키일 수 없었습니까?
추가 : 컬 -L을 사용하여 헤더 덤프 -D
HTTP/1.1 301 Moved Permanently
Server: nginx/0.8.54
Date: Sat, 10 Dec 2011 02:07:55 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://server.com/service/
HTTP/1.1 302 Found
Server: nginx/0.8.54
Date: Sat, 10 Dec 2011 02:07:55 GMT
Transfer-Encoding: chunked
Connection: keep-alive
Cache-Control: no-store, max-age=0, must-revalidate
Expires: Thu, 01-Jan-1970 00:00:00 GMT
Set-Cookie: JSESSIONID=q7rjikj4spvd1fxaowjl9XXX
Location: https://server.com/login/
HTTP/1.1 200 OK
Server: nginx/0.8.54
Date: Sat, 10 Dec 2011 02:07:55 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/5.3.2
Content-Length: 6650
사용자 이름 암호를 입력하라는 메시지와 함께 302 Found 후에 전송 된 페이지가 어떤 HTTP Status를 반환하는지 궁금합니다. 401 Unauthorized 상태가 될 수 있습니까? (407은 실제로 프록시가 아니므로 적당하지 않다고 생각합니다.) 예를 들어 파이어 폭스에서 라이브 HTTP 헤더를 사용하여 HTTP 헤더를 캡처하면 관계없이 여기에있는 것이 정말 좋을 것입니다. – ziesemer
프록시는 일반적인 HTTP 프록시 서비스 대신 "다른 서비스"라고 생각합니다. HTTP 헤더를 추가했습니다. 그리고 내가 생각한 것보다 더 나빠질 것입니다. – fabrizioM