WWW-Authenticate注销

Question

我注意到，一旦Firefox弹出一个模式来响应HTTP响应中的WWW-Authenticate标头。然后，Firefox保存用户名/密码，直到Firefox关闭。Web Developer插件使关注开发人员的人可以注销。但是，应该向浏览器发送什么HTTP消息才能丢失这些缓存的凭据呢？

Answer 1

我找到了一个合理的解决方法。它有点复杂，但工作得很好。我创建了一个带有GUID字段的表。它不是从任何记录开始。以下是解决方案：

1. 用户单击parameter.
2. When脚本会将GUID添加到新表中。当用户单击以GUID作为参数的
3. 时，系统会在表中搜索GUID。
   1. 如果GUID在表中，请删除具有GUID的记录，并提供无效的用户名/密码响应代码(即使凭据没有问题)。
   2. 如果GUID不在表中，请验证GUID。

​

这个新的表可能会被黑客迅速膨胀，因此请确保每个用户在表中只能有一个条目。您还可以使用时间戳并使用批处理作业来定期修剪表。

Answer 2

我恐怕没有办法优雅地向浏览器发送命令，停止保留(并向服务器发送每个http请求)您在用户导航开始时回收的凭据(通过http 401响应)。

Answer 3

火狐将使用403 Forbidden清除缓存的WWW-auth UN/PW。

Chrome会用403 Forbidden或401 Not Authorized来清除。

Safari将始终提示您是否要缓存。

IE是大便。