IE11を使っています。
ダイジェスト認証をかけています。
ログアウト機能を持たせたいので、HTTPコード401ヘッダーを出力して認証ダイアログを出しています。
ログアウトを行うという事はすでにログイン中なので認証ダイアログでキャンセルボタンを選択すると
前のユーザーでログインしたままになってしまいます。
キャンセルを押したことを検知する方法はないでしょうか?
よろしくお願いいたします。
HTTP 401 は
https://tools.ietf.org/html/rfc7235#section-3.1
http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
で仕様化されてますが、それを見る限り 401 で refuse された資格情報をキャッシュし続けるのは微妙に適切でない感じですね。401 で refuse されたら
"The user agent MAY repeat the request with a new or replaced Authorization header field "
って書いてあります。
hebikuzure
よく理解できていないのかもしれませんが
というシナリオでしょうか?
chrome では 401 が返ってきた時点でキャッシュしていたクレデンシャルを破棄するが、IE では破棄せず認証ダイアログで新しい資格情報が入力されれば置き換え、キャンセルしたらキャッシュしていたクレデンシャルを引き続き使う、という動作のように見える動きですね。 どちらの動作が(HTTP の仕様的に)正しいのか分かりませんが(というか調べてませんが)、もしそういう動作であれば、「この方法はIEには使用できないということですね」は Yes ということでしょう。
ご回答ありがとうございます。
ログアウトの概念がないので401ヘッダーの出力を使って疑似的にログアウトしています。
クロームではキャンセル押下=認証エラーになりますが
IEでは認証のキャンセルになってしまうので困っています。
>ブラウザーが認証方法を送るか否かでしかありません。
ということは、この方法はIEには使用できないということですね。
ご返信いただいた通りのシナリオです。
>キャンセルしたらキャッシュしていたクレデンシャルを引き続き使う
そのように見えます。
ありがとうございました。
