Est-il un navigateur équivalent à IE ClearAuthenticationCache?

J'ai un peu de interne .net application web ici, qui obligent les utilisateurs à "déconnecter" d'entre eux. Je sais que cela peut sembler discutable sur une application Intranet, mais néanmoins, il est là.

Nous sommes à l'aide de l'authentification Windows pour notre Intranet, applications, donc nous attacher à notre Active Directory avec l'Authentification de Base et les informations d'identification sont enregistrées dans le cache du navigateur, par opposition à un cookie lors de l'utilisation .net de l'authentification de formulaires.

Dans IE6+, vous pouvez tirer parti d'une spéciale de fonction JavaScript, ils ont créé de la manière suivante:

document.execCommand("ClearAuthenticationCache", "false")

Cependant, pour les autres navigateurs qui doivent être pris en charge (à savoir Firefox pour le moment, mais je cherche la multi-prise en charge du navigateur), j'ai simplement afficher un message à l'utilisateur qu'ils doivent fermer leur navigateur pour vous déconnecter de l'application, ce qui vide le cache de l'application.

Quelqu'un sait de certaines commandes/hacks/etc. que je peux utiliser dans d'autres navigateurs pour vider le cache d'authentification?

InformationsquelleAutor Dillie-O | 2008-08-27
  1. 11

    Je suis venu avec un correctif qui semble assez homogène, mais est hacky et Je ne suis toujours pas heureux avec elle.

    Il fonctionne bien 🙂

    1) les Rediriger vers une page de Déconnexion de l'

    2) Sur cette page incendie d'un script ajax en charger une autre page avec des feintes des informations d'identification (exemple en jQuery):

    $j.ajax({
    url: '<%:Url.Action("LogOff401", new { id = random })%>',
    type: 'POST',
    username: '<%:random%>',
    password: '<%:random%>',
    success: function () { alert('logged off'); }
});

    3) Qui doit toujours retourner 401 la première fois (à force de le nouveau les informations d'identification pour être passé) et ensuite seulement d'accepter le mannequin informations d'identification (modèle MVC):

    [AcceptVerbs(HttpVerbs.Post)]
public ActionResult LogOff401(string id)
{
    //if we've been passed HTTP authorisation
    string httpAuth = this.Request.Headers["Authorization"];
    if (!string.IsNullOrEmpty(httpAuth) &&
        httpAuth.StartsWith("basic", StringComparison.OrdinalIgnoreCase))
    {
        //build the string we expect - don't allow regular users to pass
        byte[] enc = Encoding.UTF8.GetBytes(id + ':' + id);
        string expected = "basic " + Convert.ToBase64String(enc);

        if (string.Equals(httpAuth, expected, StringComparison.OrdinalIgnoreCase))
        {
            return Content("You are logged out.");
        }
    }

    //return a request for an HTTP basic auth token, this will cause XmlHttp to pass the new header
    this.Response.StatusCode = 401; 
    this.Response.StatusDescription = "Unauthorized";
    this.Response.AppendHeader("WWW-Authenticate", "basic realm=\"My Realm\""); 

    return Content("Force AJAX component to sent header");
}

    4) Maintenant, la chaîne aléatoire informations d'identification ont été acceptées et mises en cache par le navigateur à la place. Lorsqu'il visite une autre page, il va essayer de les utiliser, ne parviennent pas, puis vous invite à celles de droite.

    • Hmm, c'est plutôt une approche intéressante pour les choses. Pouvez-vous le faire sans MVC si j'ai déjà des applications WinForms en place?
    • oui, il suffit de créer un nouveau .aspx ou .ashx page, coller ceci dans le chargement de la page, ajouter string id = Request["id"]; vers le haut et remettez en place les deux return Content(... avec Response.End(). Vous pouvez également créer un personnalisé HttpHandler. Tout est-il besoin de faire est de retourner une erreur HTTP 401 pour le nom d'utilisateur valide & mot de passe, puis retour HTTP de 200 pour le mannequin (qui, fous le navigateur dans la mise en cache à la place).
    • Cela fonctionne de manière fiable, mais sur FF et WebKit, il fera apparaître une boîte de dialogue de connexion qui pourrait induire en erreur l'utilisateur. J'espérais que l'utilisation de l'AJAX serait d'éviter que. Encore en recherche.
    • J'ai écrit à l'origine sur Chrome (webkit) et il n'a pas re-invite, je ne sais pas pourquoi c'est différent pour vous. Je n'ai inclus un sous-ensemble de mon code, donc il est possible que j'ai raté quelque chose dans ma réponse. Quelle technologie de la pile utilisez-vous?
    • IIS 7.5, plus tous les navigateurs. Pas de MVC WebApp. Concernant votre commentaire @Dillie-O sur l'utilisation d'un HttpHandler, ça ne marchera pas parce qu'un HttpHandler ne verrez pas le Trafic d'authentification. Voir: stackoverflow.com/questions/769432/ihttphandler-vs-ihttpmodule. Vais essayer de faire un iHttpModule..
    • Désolé de dire que je ne pouvais pas le faire fonctionner de manière fiable. Mieux dans IIS 7.5, mais IIS 6 pas. À l'aide d'un iHttpModule semblait mieux fonctionner pour une WebApp parce que je pouvais accrocher dans le ".BeginRequest" qui est assez bas. Mon plus gros problème était qu'IIS ou quelque chose continuait ajoutant "Négocier" ou "NTML" à la "WWW-Authenticate" en-tête. J'ai même essayé de forcer la transmission de la "Base" de l'en-tête de jQuery à l'aide de la "withCredentials: true" drapeau et le "beforeSend" la méthode, mais pas de dés. Pour l'instant, je suis juste en indiquant à l'utilisateur qu'ils ont besoin de fermer la fenêtre du navigateur. Pas heureux.
    • Il sonne comme IIS est d'essayer d'appliquer l'authentification Windows, auquel cas cela ne fonctionne pas. Cette solution de contournement ne fonctionne qu'avec l'authentification HTTP de Base - si le serveur web est en attente d'une négociation NTLM cela ne fonctionne pas comme NTLM est 4 étape fondamentale est à 2 pas. Je ne pense pas que les navigateurs cache d'authentification NTLM de la même manière si - HTTP de base est le contrôle d'un jeton de chaque page, tandis que NTLM est un 4 étape poignée de main.
    • Il suffit de remarquer votre commentaire maintenant. Très certain que j'ai eu l'authentification de base. Nécessaires à l'appui de BB.

    InformationsquelleAutor Keith
  2. 6

    Mozilla mise en œuvre de la crypto objet, disponible via le DOM window objet, dont le logout fonction (Firefox 1.5 vers le haut) pour effacer la session SSL état au niveau du navigateur de sorte que "la prochaine opération privée sur n'importe quel jeton pourra exiger le mot de passe utilisateur" (voir cette).

    La crypto objet semble être une mise en œuvre de la Web API Crypto, et selon ce document, le DOMCrypt API va ajouter encore plus de fonctions.

    Comme indiqué ci-dessus Microsoft IE (6 vers le haut) a:
    document.execCommand("ClearAuthenticationCache", "false")

    Je n'ai trouvé aucun moyen de nettoyer la SLL cache en Chrome (voir cette et cette les rapports de bug).

    Dans le cas où le navigateur ne propose pas d'API pour ce faire, je pense que le mieux que nous puissions faire est de demander à l'utilisateur de fermer le navigateur.

    Voici ce que je fais:

    var agt=navigator.userAgent.toLowerCase();
if (agt.indexOf("msie") !== -1) {
    document.execCommand("ClearAuthenticationCache","false");
}
//window.crypto is defined in Chrome, but it has no logout function
else if (window.crypto && typeof window.crypto.logout === "function"){
    window.crypto.logout();
}
else{
    window.location = "/page/to/instruct/the/user/to/close/the/browser";
}
    • au lieu de vérifier le userAgent de chaîne, vous devez vérifier si la commande est prise en charge par l'aide de: if document.queryCommandSupported("ClearAuthenticationCache") { ... }
    InformationsquelleAutor staromeste
  3. 5

    Un couple de notes. Quelques personnes ont dit que vous avez besoin pour déclencher une requête ajax avec des informations d'identification non valides pour obtenir le navigateur pour déposer ses propres informations d'identification.

    C'est vrai, mais comme Keith l'a souligné, il est essentiel que la page du serveur des réclamations à accepter ces informations d'identification pour que cette méthode fonctionne de manière cohérente.

    Sur une note similaire: Il n'est PAS assez bon pour votre page pour juste afficher la boîte de dialogue de connexion par l'intermédiaire d'une erreur 401. Si l'utilisateur annule la boîte de dialogue, puis de leur mise en cache des informations d'identification sont également affectés.

    Aussi, si vous pouvez s'il vous plaît poke MOZILLA à https://bugzilla.mozilla.org/show_bug.cgi?id=287957 pour ajouter une bonne correction pour FireFox. Une webkit bug a été enregistré à https://bugs.webkit.org/show_bug.cgi?id=44823. IE met en œuvre un pauvre, mais fonctionnelle de la solution de la méthode: 

    document.execCommand("ClearAuthenticationCache", "false");

    Il est regrettable que nous devons aller à ces longueurs juste pour fermer la session d'un utilisateur.

    InformationsquelleAutor AnthonyVO
  4. 2

    Pourquoi ne pas utiliser FormsAuth, mais contre ActiveDirectory plutôt que par les infos dans ce fil. C'est juste que (in)sécurité comme l'Authentification Basique, mais la journalisation est tout simplement une question de découpage d'un cookie (ou plutôt, en l'appelant FormsAuthentication.SignOut)

    • Je pouvais le regarder dans les FormsAuth chose, mais pour l'instant, la politique est d'utiliser l'authentification Windows contre le système. Je vais vérifier dans tous les trois de ces options. Si quelqu'un d'autre pense à quelque chose, par tous les moyens à la poste.
    InformationsquelleAutor Duncan Smart
  5. 2

    J'ai été la recherche d'une solution similaire et est venu à travers un patch pour Trac (un problème de gestion du système) qui fait cela.

    J'ai regardé à travers le code (et je suis fatigué, donc je ne suis pas tout expliquer); fondamentalement, vous avez besoin de faire un appel AJAX avec garantie non valide informations d'identification à votre page de connexion. Le navigateur va obtenir un 401 et de savoir qu'il doit vous demander les informations d'identification appropriées prochaine fois que vous y allez. Vous utilisez AJAX au lieu d'une redirection de sorte que vous pouvez spécifier des informations d'identification incorrectes et que le navigateur n'affiche une boîte de dialogue.

    Sur le patch (http://trac-hacks.org/wiki/TrueHttpLogoutPatch) page qu'ils utilisent très rudimentaire AJAX; quelque chose de mieux comme jQuery ou Prototype, etc. est probablement mieux, bien que ce fait le travail.

    InformationsquelleAutor Marius Marais
  6. 0

    Bien, j'ai été la navigation autour de Bugzilla pour un peu maintenant, et apparemment la meilleure façon, vous pouvez aller pour la compensation de l'authentification serait d'envoyer inexistant informations d'identification.

    Lire la suite ici: https://bugzilla.mozilla.org/show_bug.cgi?id=287957

    InformationsquelleAutor Andy
  7. -1

    J'espère que cela sera utile jusqu'à ce que quelqu'un vient avec une réponse explicite - ce problème a été discuté il y a deux ans sur un panneau de message.

    HTH

    InformationsquelleAutor Jason Bunting