如何注销用户从网站使用基本身份验证?

小开

使用会话ID (cookie)
使服务器上的会话ID失效
不接受会话id无效的用户

小开

这在基本身份验证中是不可能直接实现的。

在HTTP规范中，服务器没有机制告诉浏览器停止发送用户已经提供的凭据。

有一些“黑客”(参见其他答案)通常涉及使用XMLHttpRequest发送带有错误凭据的HTTP请求，以覆盖最初提供的凭据。

小开

最佳答案

基本身份验证不是为管理注销而设计的。你可以这样做，但不是完全自动的。

你所要做的就是让用户点击登出链接，然后发送一个“401未授权”作为响应，使用与你发送的请求登录的正常401相同的域和URL文件夹级别。

接下来，他们必须被引导输入错误的凭证。一个空白的用户名和密码，作为回应，您发回一个“您已成功注销”页面。错误的/空白的凭证将覆盖之前的正确凭证。

简而言之，登出脚本颠倒了登录脚本的逻辑，只有当用户不是传递了正确的凭据时才返回成功页面。

问题是这个有点奇怪的“不要输入密码”的密码框是否能让用户接受。试图自动填充密码的密码管理器也会在这里起到阻碍作用。

编辑添加以回应评论:重新登录是一个稍微不同的问题(除非你显然需要两步注销/登录)。您必须拒绝(401)第一次访问重新登录链接的尝试，然后接受第二次(可能有不同的用户名/密码)。有几种方法可以做到这一点。一种方法是在登出链接中包含当前用户名。/relogin?username)，并在凭据与用户名匹配时拒绝。

小开

bobince对这个问题的补充回答是…

使用Ajax，您可以将“注销”链接/按钮连接到Javascript函数。让这个函数发送带有错误用户名和密码的XMLHttpRequest。这应该会得到401。然后设置文档。位置返回到预登录页面。这样，用户将永远不会在注销期间看到额外的登录对话框，也不必记得输入错误的凭据。

小开

你可以完全用JavaScript完成:

IE有(很长一段时间)用于清除基本身份验证缓存的标准API:

document.execCommand("ClearAuthenticationCache")

当它工作时应该返回true。返回false，未定义或爆炸在其他浏览器。

新的浏览器(截至2012年12月:Chrome, FireFox, Safari)有“魔力”;的行为。如果他们看到成功的基本认证请求与任何伪造的其他用户名(比如logout)，他们会清除凭据缓存，并可能为新的伪造用户名设置凭据缓存，你需要确保这不是一个用于查看内容的有效用户名。

基本的例子是:

var p = window.location.protocol + '//'
// current location must return 200 OK for this GET
window.location = window.location.href.replace(p, p + 'logout:password@')

一个“asynchronous"执行上述操作的方法是使用logout用户名进行AJAX调用。例子:

(function(safeLocation){
var outcome, u, m = "You should be logged out now.";
// IE has a simple solution for it - API:
try { outcome = document.execCommand("ClearAuthenticationCache") }catch(e){}
// Other browsers need a larger solution - AJAX call with special user name - 'logout'.
if (!outcome) {
// Let's create an xmlhttp object
outcome = (function(x){
if (x) {
// the reason we use "random" value for password is
// that browsers cache requests. changing
// password effectively behaves like cache-busing.
x.open("HEAD", safeLocation || location.href, true, "logout", (new Date()).getTime().toString())
x.send("")
// x.abort()
return 1 // this is **speculative** "We are done."
} else {
return
}
})(window.XMLHttpRequest ? new window.XMLHttpRequest() : ( window.ActiveXObject ? new ActiveXObject("Microsoft.XMLHTTP") : u ))
}
if (!outcome) {
m = "Your browser is too old or too weird to support log out functionality. Close all windows and restart the browser."
}
alert(m)
// return !!outcome
})(/*if present URI does not return 200 OK for GET, set some other 200 OK location here*/)

你也可以把它做成书签:

javascript:(function (c) {
var a, b = "You should be logged out now.";
try {
a = document.execCommand("ClearAuthenticationCache")
} catch (d) {
}
a || ((a = window.XMLHttpRequest ? new window.XMLHttpRequest : window.ActiveXObject ? new ActiveXObject("Microsoft.XMLHTTP") : void 0) ? (a.open("HEAD", c || location.href, !0, "logout", (new Date).getTime().toString()), a.send(""), a = 1) : a = void 0);
a || (b = "Your browser is too old or too weird to support log out functionality. Close all windows and restart the browser.");
alert(b)
})(/*pass safeLocation here if you need*/);

小开

这适用于IE/Netscape/Chrome浏览器:

      function ClearAuthentication(LogOffPage)
{
var IsInternetExplorer = false;


try
{
var agt=navigator.userAgent.toLowerCase();
if (agt.indexOf("msie") != -1) { IsInternetExplorer = true; }
}
catch(e)
{
IsInternetExplorer = false;
};


if (IsInternetExplorer)
{
// Logoff Internet Explorer
document.execCommand("ClearAuthenticationCache");
window.location = LogOffPage;
}
else
{
// Logoff every other browsers
$.ajax({
username: 'unknown',
password: 'WrongPassword',
url: './cgi-bin/PrimoCgi',
type: 'GET',
beforeSend: function(xhr)
{
xhr.setRequestHeader("Authorization", "Basic AAAAAAAAAAAAAAAAAAA=");
},


error: function(err)
{
window.location = LogOffPage;
}
});
}
}




$(document).ready(function ()
{
$('#Btn1').click(function ()
{
// Call Clear Authentication
ClearAuthentication("force_logout.html");
});
});

小开

让用户点击指向https://log:out@example.com/的链接。这将用无效的凭证覆盖现有的凭证;注销它们。

小开

下面是一个使用jQuery的非常简单的Javascript示例:

function logout(to_url) {
var out = window.location.href.replace(/:\/\//, '://log:out@');


jQuery.get(out).error(function() {
window.location = to_url;
});
}

这个登录用户退出而没有再次显示浏览器登录框，然后将他重定向到注销页面

小开

function logout() {
var userAgent = navigator.userAgent.toLowerCase();


if (userAgent.indexOf("msie") != -1) {
document.execCommand("ClearAuthenticationCache", false);
}


xhr_objectCarte = null;


if(window.XMLHttpRequest)
xhr_object = new XMLHttpRequest();
else if(window.ActiveXObject)
xhr_object = new ActiveXObject("Microsoft.XMLHTTP");
else
alert ("Your browser doesn't support XMLHTTPREQUEST");


xhr_object.open ('GET', 'http://yourserver.com/rep/index.php', false, 'username', 'password');
xhr_object.send ("");
xhr_object = null;


document.location = 'http://yourserver.com';
return false;
}

小开

其实很简单。

只需在浏览器中访问以下内容并使用错误的凭据: http://username:password@yourdomain.com < / p >

这应该会“让你退出”。

小开

 function logout(url){
var str = url.replace("http://", "http://" + new Date().getTime() + "@");
var xmlhttp;
if (window.XMLHttpRequest) xmlhttp=new XMLHttpRequest();
else xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
xmlhttp.onreadystatechange=function()
{
if (xmlhttp.readyState==4) location.reload();
}
xmlhttp.open("GET",str,true);
xmlhttp.setRequestHeader("Authorization","Basic xxxxxxxxxx")
xmlhttp.send();
return false;
}

小开

此JavaScript必须适用于所有最新版本的浏览器:

//Detect Browser
var isOpera = !!window.opera || navigator.userAgent.indexOf(' OPR/') >= 0;
// Opera 8.0+ (UA detection to detect Blink/v8-powered Opera)
var isFirefox = typeof InstallTrigger !== 'undefined';   // Firefox 1.0+
var isSafari = Object.prototype.toString.call(window.HTMLElement).indexOf('Constructor') > 0;
// At least Safari 3+: "[object HTMLElementConstructor]"
var isChrome = !!window.chrome && !isOpera;              // Chrome 1+
var isIE = /*@cc_on!@*/false || !!document.documentMode; // At least IE6
var Host = window.location.host;




//Clear Basic Realm Authentication
if(isIE){
//IE
document.execCommand("ClearAuthenticationCache");
window.location = '/';
}
else if(isSafari)
{//Safari. but this works mostly on all browser except chrome
(function(safeLocation){
var outcome, u, m = "You should be logged out now.";
// IE has a simple solution for it - API:
try { outcome = document.execCommand("ClearAuthenticationCache") }catch(e){}
// Other browsers need a larger solution - AJAX call with special user name - 'logout'.
if (!outcome) {
// Let's create an xmlhttp object
outcome = (function(x){
if (x) {
// the reason we use "random" value for password is
// that browsers cache requests. changing
// password effectively behaves like cache-busing.
x.open("HEAD", safeLocation || location.href, true, "logout", (new Date()).getTime().toString())
x.send("");
// x.abort()
return 1 // this is **speculative** "We are done."
} else {
return
}
})(window.XMLHttpRequest ? new window.XMLHttpRequest() : ( window.ActiveXObject ? new ActiveXObject("Microsoft.XMLHTTP") : u ))
}
if (!outcome) {
m = "Your browser is too old or too weird to support log out functionality. Close all windows and restart the browser."
}
alert(m);
window.location = '/';
// return !!outcome
})(/*if present URI does not return 200 OK for GET, set some other 200 OK location here*/)
}
else{
//Firefox,Chrome
window.location = 'http://log:out@'+Host+'/';
}

小开

在Firefox 40、Chrome 44、Opera 31和IE 11下确认如下功能有效加油车用于浏览器检测，jQuery也被使用 —“secUrl”为密码保护区域的url，用户可以从该url退出 —“redirUrl”为非密码保护区域的url(注销成功页面)。
-你可能希望增加重定向定时器(目前是200ms)

function logout(secUrl, redirUrl) {
if (bowser.msie) {
document.execCommand('ClearAuthenticationCache', 'false');
} else if (bowser.gecko) {
$.ajax({
async: false,
url: secUrl,
type: 'GET',
username: 'logout'
});
} else if (bowser.webkit) {
var xmlhttp = new XMLHttpRequest();
xmlhttp.open("GET", secUrl, true);
xmlhttp.setRequestHeader("Authorization", "Basic logout");
xmlhttp.send();
} else {
alert("Logging out automatically is unsupported for " + bowser.name
+ "\nYou must close the browser to log out.");
}
setTimeout(function () {
window.location.href = redirUrl;
}, 200);
}

小开

添加到你的应用程序:

@app.route('/logout')
def logout():
return ('Logout', 401, {'WWW-Authenticate': 'Basic realm="Login required"'})

小开

你所需要的只是在注销URL上重定向用户并返回401 Unauthorized错误。在错误页面(必须在没有基本身份验证的情况下访问)上，您需要提供到主页的完整链接(包括方案和主机名)。用户将点击此链接，浏览器将再次要求凭据。

Nginx的示例:

location /logout {
return 401;
}


error_page 401 /errors/401.html;


location /errors {
auth_basic off;
ssi        on;
ssi_types  text/html;
alias /home/user/errors;
}

错误页/home/user/errors/401.html:

<!DOCTYPE html>
<p>You're not authorised. <a href="<!--# echo var="scheme" -->://<!--# echo var="host" -->/">Login</a>.</p>

小开



    function logout(secUrl, redirUrl) {
if (bowser.msie) {
document.execCommand('ClearAuthenticationCache', 'false');
} else if (bowser.gecko) {
$.ajax({
async: false,
url: secUrl,
type: 'GET',
username: 'logout'
});
} else if (bowser.webkit) {
var xmlhttp = new XMLHttpRequest();
xmlhttp.open("GET", secUrl, true);
xmlhttp.setRequestHeader("Authorization", "Basic logout");
xmlhttp.send();
} else {
alert("Logging out automatically is unsupported for " + bowser.name
+ "\nYou must close the browser to log out.");
}
setTimeout(function () {
window.location.href = redirUrl;
}, 200);
}




< /代码> < / >之前


我试着以以下方式使用上述方法。


?php
ob_start();
session_start();
require_once 'dbconnect.php';


// if session is not set this will redirect to login page
if( !isset($_SESSION['user']) ) {
header("Location: index.php");
exit;
}
// select loggedin users detail
$res=mysql_query("SELECT * FROM users WHERE userId=".$_SESSION['user']);
$userRow=mysql_fetch_array($res);
?>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Welcome - <?php echo $userRow['userEmail']; ?></title>
<link rel="stylesheet" href="assets/css/bootstrap.min.css" type="text/css"  />
<link rel="stylesheet" href="style.css" type="text/css" />


<script src="assets/js/bowser.min.js"></script>
<script>
//function logout(secUrl, redirUrl)
//bowser = require('bowser');
function logout(secUrl, redirUrl) {
alert(redirUrl);
if (bowser.msie) {
document.execCommand('ClearAuthenticationCache', 'false');
} else if (bowser.gecko) {
$.ajax({
async: false,
url: secUrl,
type: 'GET',
username: 'logout'
});
} else if (bowser.webkit) {
var xmlhttp = new XMLHttpRequest();
xmlhttp.open("GET", secUrl, true);
xmlhttp.setRequestHeader("Authorization", "Basic logout");
xmlhttp.send();
} else {
alert("Logging out automatically is unsupported for " + bowser.name
+ "\nYou must close the browser to log out.");
}
window.location.assign(redirUrl);
/*setTimeout(function () {
window.location.href = redirUrl;
}, 200);*/
}




function f1()
{
alert("f1 called");
//form validation that recalls the page showing with supplied inputs.
}
</script>
</head>
<body>


<nav class="navbar navbar-default navbar-fixed-top">
<div class="container">
<div class="navbar-header">
<button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#navbar" aria-expanded="false" aria-controls="navbar">
<span class="sr-only">Toggle navigation</span>
<span class="icon-bar"></span>
<span class="icon-bar"></span>
<span class="icon-bar"></span>
</button>
<a class="navbar-brand" href="http://www.codingcage.com">Coding Cage</a>
</div>
<div id="navbar" class="navbar-collapse collapse">
<ul class="nav navbar-nav">
<li class="active"><a href="http://www.codingcage.com/2015/01/user-registration-and-login-script-using-php-mysql.html">Back to Article</a></li>
<li><a href="http://www.codingcage.com/search/label/jQuery">jQuery</a></li>
<li><a href="http://www.codingcage.com/search/label/PHP">PHP</a></li>
</ul>
<ul class="nav navbar-nav navbar-right">


<li class="dropdown">
<a href="#" class="dropdown-toggle" data-toggle="dropdown" role="button" aria-haspopup="true" aria-expanded="false">
<span class="glyphicon glyphicon-user"></span>&nbsp;Hi' <?php echo $userRow['userEmail']; ?>&nbsp;<span class="caret"></span></a>
<ul class="dropdown-menu">
<li><a href="logout.php?logout"><span class="glyphicon glyphicon-log-out"></span>&nbsp;Sign Out</a></li>
</ul>
</li>
</ul>
</div><!--/.nav-collapse -->
</div>
</nav>


<div id="wrapper">


<div class="container">


<div class="page-header">
<h3>Coding Cage - Programming Blog</h3>
</div>


<div class="row">
<div class="col-lg-12" id="div_logout">
<h1 onclick="logout(window.location.href, 'www.espncricinfo.com')">MichaelA1S1! Click here to see log out functionality upon click inside div</h1>
</div>
</div>


</div>


</div>


<script src="assets/jquery-1.11.3-jquery.min.js"></script>
<script src="assets/js/bootstrap.min.js"></script>




</body>
</html>
<?php ob_end_flush(); ?>



但它只会把你重定向到新的位置。没有注销。


                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    根据我上面读到的内容，我得到了一个适用于任何浏览器的简单解决方案:


1)在你登出页面，你调用ajax到你的登录后端。您的登录后端必须接受注销用户。一旦后端接受，浏览器将清除当前用户并假定为“注销”用户。


$.ajax({
async: false,
url: 'http://your_login_backend',
type: 'GET',
username: 'logout'
});


setTimeout(function () {
window.location.href = 'http://normal_index';
}, 200);



2)现在当用户回到正常的索引文件时，它将尝试自动进入系统，用户“logout”，在第二次你必须通过回复401来调用登录/密码对话框来阻止它。


3)有很多方法可以做到这一点，我创建了两个登录后端，一个接受注销用户和一个不接受。我的正常登录页面使用一个不接受，我的注销页面使用一个接受它。
                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    我为现代Chrome版本更新了mthoring的解决方案:


function logout(secUrl, redirUrl) {
if (bowser.msie) {
document.execCommand('ClearAuthenticationCache', 'false');
} else if (bowser.gecko) {
$.ajax({
async: false,
url: secUrl,
type: 'GET',
username: 'logout'
});
} else if (bowser.webkit || bowser.chrome) {
var xmlhttp = new XMLHttpRequest();
xmlhttp.open(\"GET\", secUrl, true);
xmlhttp.setRequestHeader(\"Authorization\", \"Basic logout\");\
xmlhttp.send();
} else {
// http://stackoverflow.com/questions/5957822/how-to-clear-basic-authentication-details-in-chrome
redirUrl = url.replace('http://', 'http://' + new Date().getTime() + '@');
}
setTimeout(function () {
window.location.href = redirUrl;
}, 200);
}

                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    在地址栏和chrome中输入chrome://restart，以及所有在后台运行的应用程序，将重新启动，Auth密码缓存将被清除。
                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    只是为了记录，有一个新的HTTP响应头称为Clear-Site-Data。如果您的服务器回复包含Clear-Site-Data: "cookies"报头，则应该删除身份验证凭据(不仅仅是cookie)。我在Chrome 77上测试了它，但控制台显示了这个警告:


Clear-Site-Data header on 'https://localhost:9443/clear': Cleared data types:
"cookies". Clearing channel IDs and HTTP authentication cache is currently not
supported, as it breaks active network connections.



并且认证凭证没有被删除，所以这不能(目前)实现基本的认证注销，但也许将来会。没有在其他浏览器上测试。


引用:


https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data


https://www.w3.org/TR/clear-site-data/


https://github.com/w3c/webappsec-clear-site-data


https://caniuse.com/#feat=mdn-http_headers_clear-site-data_cookies
                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    我刚刚在Chrome(79)、Firefox(71)和Edge(44)上测试了以下程序，效果良好。它应用上面提到的脚本解决方案。


只需添加一个“注销”链接，点击返回以下html


    <div>You have been logged out. Redirecting to home...</div>


<script>
var XHR = new XMLHttpRequest();
XHR.open("GET", "/Home/MyProtectedPage", true, "no user", "no password");
XHR.send();


setTimeout(function () {
window.location.href = "/";
}, 3000);
</script>

                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    发送https://invalid_login@hostname在Mac上的任何地方都可以正常工作，除了Safari(好吧，没有选中Edge，但也应该在那里工作)。


当用户在HTTP基本身份验证弹出框中选择“记住密码”时，Safari中的注销不工作。在这种情况下，密码存储在Keychain Access (Finder > Applications > Utilities > Keychain Access(或CMD+SPACE并键入“Keychain Access”))中。发送https://invalid_login@hostname不影响钥匙链访问，所以有了这个复选框，就不可能在Mac上注销Safari。至少它是如何为我工作的。


MacOS Mojave (10.14.6)， Safari 12.1.2。


下面的代码在Firefox(73)、Chrome(80)和Safari(12)中运行良好。当用户导航到登出页面时，执行代码并删除凭据。


    //It should return 401, necessary for Safari only
const logoutUrl = 'https://example.com/logout';
const xmlHttp = new XMLHttpRequest();
xmlHttp.open('POST', logoutUrl, true, 'logout');
xmlHttp.send();



此外，由于某些原因，Safari不会在HTTP基本身份验证弹出框中保存凭据，即使选择了“记住密码”。其他浏览器可以正确地做到这一点。
                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    正如其他人所说，我们需要获得相同的URL并发送一个错误(例如，401:StatusUnauthorized之类的)，就是这样。
我使用Get方法让它知道我需要登出，
下面是一个使用golang进行编写的完整示例。
package main


import (
"crypto/subtle"
"fmt"
"log"
"net/http"
)


func BasicAuth(username, password, realm string, handlerFunc http.HandlerFunc) http.HandlerFunc {


return func(w http.ResponseWriter, r *http.Request) {
queryMap := r.URL.Query()
if _, ok := queryMap["logout"]; ok { // localhost:8080/public/?logout
w.WriteHeader(http.StatusUnauthorized) // 401
_, _ = w.Write([]byte("Success logout!\n"))
return
}


user, pass, ok := r.BasicAuth()


if !ok ||
subtle.ConstantTimeCompare([]byte(user), []byte(username)) != 1 ||
subtle.ConstantTimeCompare([]byte(pass), []byte(password)) != 1 {
// https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/WWW-Authenticate
w.Header().Set("WWW-Authenticate", `Basic realm="`+realm+`", charset="UTF-8"`)
w.WriteHeader(http.StatusUnauthorized)
_, _ = w.Write([]byte("Unauthorised.\n"))
return
}


handlerFunc(w, r)
}
}


type UserInfo struct {
name string
psw  string
}


func main() {


portNumber := "8080"
guest := UserInfo{"guest", "123"}


// localhost:8080/public/  -> ./public/everyone
publicHandler := http.StripPrefix(
"/public/", http.FileServer(http.Dir("./public/everyone")),
)


publicHandlerFunc := func(w http.ResponseWriter, r *http.Request) {
switch r.Method {
case http.MethodGet:
publicHandler.ServeHTTP(w, r)
/*
case http.MethodPost:
case http.MethodPut:
case http.MethodDelete:
*/
default:
return
}
}


http.HandleFunc("/public/",
BasicAuth(guest.name, guest.psw, "Please enter your username and password for this site",
publicHandlerFunc),
)


log.Fatal(http.ListenAndServe(fmt.Sprintf(":%s", portNumber), nil))
}

当你已经登出时，你需要刷新 (F5)页面。否则，您可能会看到旧内容。
                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    实际上，我认为基本身份验证的目的是用于静态页面，而不是用于任何复杂的会话管理或CGI页面。
因此，当需要会话管理时，您应该设计一个经典的“登录表单”;查询用户和密码(可能还有第二个因素)。
CGI表单处理程序应该将成功的身份验证转换为服务器上记住的会话 (ID)(在cookie中或作为URI的一部分)
然后注销可以简单地实现通过使服务器(和客户端)"忘记"会话。
另一个优点是(即使加密)用户和密码是不发送每个请求到服务器(而不是会话ID将被发送)
如果服务器上的会话ID与“最后一个动作”的时间戳相结合;执行后，会话超时可以通过比较该时间戳和当前时间来实现:
如果时间跨度太大，“;timeout"
 . .
对无效会话的任何请求都将导致重定向到登录页面(或者如果您想让它更舒服，您可以使用“重新验证表单”。再次请求密码)。
作为概念的证明，我已经实现了一个完全无cookie的会话管理，它完全基于URI(会话ID总是URI的一部分)。
然而，完整的代码对于这个答案来说太长了
当希望处理数千个并发会话时，必须特别注意性能。
                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    对于使用Windows身份验证(也称为协商、Kerberos或NTLM身份验证)的任何人，我使用ASP。NET Core和Angular。
我找到了一种有效的方式来改变用户!
我修改我的登录方法在javascript方面，就像这样:
protected login(changeUser: boolean = false): Observable<AuthInfo> {
let params = new HttpParams();
if(changeUser) {
let dateNow = this.datePipe.transform(new Date(), 'yyyy-MM-dd HH:mm:ss');
params = params.set('changeUser', dateNow!);
}
const url: string = `${environment.yourAppsApiUrl}/Auth/login`;
return this.http.get<AuthInfo>(url, { params: params });
}

下面是我在后台的方法:
[Route("api/[controller]")]
[ApiController]
[Produces("application/json")]
[Authorize(AuthenticationSchemes = NegotiateDefaults.AuthenticationScheme)]
public class AuthController : Controller
{
[HttpGet("login")]
public async Task<IActionResult> Login(DateTime? changeUser = null)
{
if (changeUser > DateTime.Now.AddSeconds(-3))
return Unauthorized();


...
... (login process)
...


return Ok(await _authService.GetToken());
}
}

return Unauthorized()返回401代码，导致浏览器识别弹出窗口出现，过程如下:
 < / p >

如果我想更改用户，我现在将日期作为参数传输。
如果从那一刻起不超过3秒，我就返回401代码。
我完成了我的凭证，并将具有相同参数的相同请求发送到后端。
由于已经过去了3秒多，我继续登录过程，但这次使用的是新的凭据!

                                                                            
                                
                            
                        
                                                
                            
                                
                                    
                                
                            
                            
                                
                                    
                                        小开
                                        
                                    
                                
                                
                                                                        
                                                                                    这是我的注销是如何使用形式工作:

创建基本认证用户注销密码注销
创建目录logout/和添加.htaccess:行'要求用户注销'

RewriteEngine On
AuthType Basic
AuthName "Login"
AuthUserFile /mypath/.htpasswd
require user logout


添加注销按钮，网站的形式如下:

<form action="https://logout:logout@example.com/logout/" method="post">
<button type="submit">Logout</button>
</form>


Logout /index.php可以是这样的:

<?php
echo "LOGOUT SUCCESS";
header( "refresh:2; url=https://example.com" );
?>

5.9.2022确认支持chrome、edge和三星android网络浏览器