JQuery के उपयोग से ब्राउज़र को बुनियादी कोर पॉपअप को कैसे रोका जाए और 401 त्रुटि को हैंडल किया जाए?

मुझे मूल अधिकार का उपयोग करके प्राधिकरण अनुरोध भेजने की आवश्यकता है। मैंने सफलतापूर्वक jquery का उपयोग करके इसे लागू किया है। हालाँकि जब मुझे 401 एरर मिलता है तो बेसिक ऑर्ट ब्राउज़र ब्राउज़र पॉपअप खुल जाता है और jquery ajax एरर कॉलबैक नहीं कहा जाता है।

मैं हाल ही में इस मुद्दे का सामना कर रहा था। चूँकि आप पॉपअप 401( बेसिक या डाइजेस्ट ऑथेंटिकेशन) के मामले में पॉपअप दिखाने के ब्राउज़र के डिफ़ॉल्ट व्यवहार को नहीं बदल सकते हैं, इसे ठीक करने के दो तरीके हैं:

• वापसी नहीं करने के लिए सर्वर प्रतिक्रिया बदलें 401। 200इसके बजाय एक कोड लौटाएं और अपने jQuery क्लाइंट में इसे संभालें।

• उस विधि को बदलें जो आप अपने हेडर में कस्टम मूल्य के लिए प्राधिकरण के लिए उपयोग कर रहे हैं। ब्राउजर बेसिक और डाइजेस्ट के लिए पॉपअप प्रदर्शित करेगा । आपको इसे क्लाइंट और सर्वर दोनों पर बदलना होगा।

  headers : {
    "Authorization" : "BasicCustom"
  }
  

बेसिक ऑथ के साथ jQuery का उपयोग करने के उदाहरण के लिए कृपया इस पर एक नज़र डालें ।

एक सामान्य 400 स्थिति कोड लौटाएँ, और फिर उस क्लाइंट-साइड पर प्रक्रिया करें।

या आप 401 को रख सकते हैं, और डब्ल्यूडब्ल्यूडब्ल्यू-ऑथेंटिकेट हेडर को वापस नहीं कर सकते हैं, जो वास्तव में वह है जो ब्राउज़र प्रमाणीकरण के साथ प्रतिक्रिया दे रहा है। यदि WWW-Authenticate हेडर गायब है, तो ब्राउज़र क्रेडेंशियल के लिए संकेत नहीं देगा।

आप मूल url को इस तरह से देख रहे अनुरोध url को दबा सकते हैं:

https://username:password@example.com/admin/...

यदि आपको 401 त्रुटि (गलत उपयोगकर्ता नाम या पासवर्ड) मिलती है, तो इसे सही ढंग से jquery त्रुटि कॉलबैक से नियंत्रित किया जाएगा। यह कुछ सुरक्षा समस्याओं (https के बजाय http प्रोटोकॉल के मामले में) का कारण बन सकता है, लेकिन यह काम करता है।

UPD: क्रोम 59 में इस समाधान समर्थन को हटा दिया जाएगा

जैसा कि अन्य ने बताया है, ब्राउज़र के व्यवहार को बदलने का एकमात्र तरीका यह सुनिश्चित करना है कि प्रतिक्रिया में या तो 401 स्थिति कोड नहीं है या यदि यह है, तो WWW-Authenticate: Basicहेडर शामिल नहीं है । चूंकि स्टेटस कोड बदलना बहुत अर्थपूर्ण और अवांछनीय नहीं है, WWW-Authenticateहेडर को निकालने के लिए एक अच्छा तरीका है । यदि आप अपने वेब सर्वर एप्लिकेशन को संशोधित नहीं कर सकते हैं या नहीं करना चाहते हैं, तो आप इसे हमेशा अपाचे के माध्यम से सेवा या प्रॉक्सी कर सकते हैं (यदि आप अपाचे का उपयोग नहीं कर रहे हैं)।

डब्ल्यूडब्ल्यूडब्ल्यू-ऑथेंटिकेट हेडर को हटाने के लिए प्रतिक्रिया को फिर से लिखने के लिए अपाचे के लिए एक कॉन्फ़िगरेशन है IFF अनुरोध में हेडर शामिल है X-Requested-With: XMLHttpRequest(जो डिफ़ॉल्ट रूप से JQuery / AngularJS जैसे प्रमुख जावास्क्रिप्ट फ्रेमवर्क द्वारा सेट किया गया है, आदि ... और प्रतिक्रिया में शामिल है) हेडर WWW-Authenticate: Basic।

Apache 2.4 पर परीक्षण किया गया (सुनिश्चित नहीं है कि यह 2.2 के साथ काम करता है)। यह mod_headersस्थापित किए जा रहे मॉड्यूल पर निर्भर करता है। (डेबियन / उबंटू पर, sudo a2enmod headersऔर अपाचे को पुनरारंभ करें)

    <Location />
            # Make sure that if it is an XHR request,
            # we don't send back basic authentication header.
            # This is to prevent the browser from displaying a basic auth login dialog.
            Header unset WWW-Authenticate "expr=req('X-Requested-With') == 'XMLHttpRequest' && resp('WWW-Authenticate') =~ /^Basic/"
    </Location>   

X-Requested-With: XMLHttpRequest का उपयोग अपने अनुरोध हैडर के साथ करें। तो प्रतिक्रिया शीर्षलेख में WWW-Authenticate: Basic नहीं होगा।

beforeSend: function (xhr) {
                    xhr.setRequestHeader('Authorization', ("Basic "
                        .concat(btoa(key))));
                    xhr.setRequestHeader('X-Requested-With', 'XMLHttpRequest');
                },

यदि आप IIS सर्वर का उपयोग कर रहे हैं, तो आप अनुरोधित URL पर WWW-Authenticationहेडर को फिर से लिखने के लिए IIS URL रिवाइटरिंग (v2) सेटअप कर सकते हैं None।

यहां मार्गदर्शन करें ।

जिस मान को आप बदलना चाहते हैं, वह है response_www_authenticate।

यदि आपको अधिक जानकारी की आवश्यकता है, तो एक टिप्पणी जोड़ें और मैं web.config फ़ाइल पोस्ट करूँगा।

यदि डब्ल्यूडब्ल्यूडब्ल्यू-ऑथेंटिकेट हेडर को हटा दिया जाता है, तो आपको क्रेडेंशियल की कैशिंग नहीं मिलेगी और अनुरोध में प्राधिकरण हेडर वापस नहीं मिलेगा। इसका मतलब है कि अब आपको अपने द्वारा उत्पन्न हर नए अनुरोध के लिए क्रेडेंशियल दर्ज करना होगा।

वैकल्पिक रूप से, यदि आप अपने सर्वर की प्रतिक्रिया को अनुकूलित कर सकते हैं, तो आप 403 निषिद्ध वापस कर सकते हैं।

ब्राउज़र प्रमाणीकरण पॉपअप नहीं खोलेगा और jquery कॉलबैक कहा जाएगा।

सफारी में, आप पॉपअप प्रदर्शित करने के लिए ब्राउज़र से बचने के लिए सिंक्रोनस अनुरोधों का उपयोग कर सकते हैं। बेशक, उपयोगकर्ता के क्रेडेंशियल्स की जांच के लिए इस मामले में सिंक्रोनस अनुरोधों का उपयोग किया जाना चाहिए ... वास्तविक अनुरोध भेजने से पहले आप इस तरह के अनुरोध का उपयोग कर सकते हैं जो खराब उपयोगकर्ता अनुभव का कारण हो सकता है यदि सामग्री (भेजी या प्राप्त) काफी भारी है।

    var xmlhttp=new XMLHttpRequest;
    xmlhttp.withCredentials=true;
    xmlhttp.open("POST",<YOUR UR>,false,username,password);
    xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
    xmlhttp.setRequestHeader('X-Requested-With', 'XMLHttpRequest');

GET के माध्यम से "उपयोगकर्ता" और "पासवर्ड" मापदंडों को स्वीकार करने के बजाय / लॉगिन url बनाएं, और बुनियादी स्थिति की आवश्यकता नहीं है। यहां, जो भी आपके पासवार्ड फाइल और पार्स फाइल करता है, उसके खिलाफ php, node, java का उपयोग करें और इसके खिलाफ पैरामीटर (उपयोगकर्ता / पास) का मिलान करें। यदि कोई मेल है तो http: // उपयोगकर्ता: pass@domain.com/ (यह आपके ब्राउज़र पर क्रेडेंशियल सेट करेगा) को अनुप्रेषित करता है , यदि नहीं, तो 401 प्रतिक्रिया (WWW-Authenticate हेडर के बिना) भेजें।

स्प्रिंग बूट के साथ पीछे की ओर से मैंने कस्टम BasicAuthenticationEntryPoint का उपयोग किया है:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.cors().and().authorizeRequests()
            ...
            .antMatchers(PUBLIC_AUTH).permitAll()
            .and().httpBasic()
//    https://www.baeldung.com/spring-security-basic-authentication
            .authenticationEntryPoint(authBasicAuthenticationEntryPoint())
            ...

@Bean
public BasicAuthenticationEntryPoint authBasicAuthenticationEntryPoint() {
    return new BasicAuthenticationEntryPoint() {
        {
            setRealmName("pirsApp");
        }

        @Override
        public void commence
                (HttpServletRequest request, HttpServletResponse response, AuthenticationException authEx)
                throws IOException, ServletException {
            if (request.getRequestURI().equals(PUBLIC_AUTH)) {
                response.sendError(HttpStatus.PRECONDITION_FAILED.value(), "Wrong credentials");
            } else {
                super.commence(request, response, authEx);
            }
        }
    };
}