模式上的单个标志是否尊重HTTP协议规则？

Question

我们正在为JAVA应用程序使用CAS服务器。认证制度如下：

Found)

• The用户尝试访问系统上的资源(1)它得到重定向的系统

• (302

• 用户输入用户名密码

• 服务器使用cookie应答并重定向到原始页面(1)

)

我辩论的事实是，这种交互尊重HTTP协议。

如果我没有访问资源的授权，那么系统不应该使用401未经授权的回答，或者更好的是需要的407代理身份验证吗？

而授权资源，不能代替Cookie字符串一个完整的SSL级授权密钥吗？

添加:使用curl -L -D的头转储

HTTP/1.1 301 Moved Permanently
Server: nginx/0.8.54
Date: Sat, 10 Dec 2011 02:07:55 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://server.com/service/

HTTP/1.1 302 Found
Server: nginx/0.8.54
Date: Sat, 10 Dec 2011 02:07:55 GMT
Transfer-Encoding: chunked
Connection: keep-alive
Cache-Control: no-store, max-age=0, must-revalidate
Expires: Thu, 01-Jan-1970 00:00:00 GMT
Set-Cookie: JSESSIONID=q7rjikj4spvd1fxaowjl9XXX
Location: https://server.com/login/

HTTP/1.1 200 OK
Server: nginx/0.8.54
Date: Sat, 10 Dec 2011 02:07:55 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/5.3.2
Content-Length: 6650

Answer 1

您是对的--示例中的SSO系统实际上与HTTP协议本身处于不同的级别。如果应用程序返回401，那么浏览器本身可能会处理身份验证(例如:提示用户输入用户名/密码，然后发送带有此基的下一个请求-在HTTP授权头中编码的64)。在HTTP基本身份验证的情况下，用户名和密码将随每个请求一起发送到您的系统。您可以使用Kerberos或NTLM进行身份验证，在这种情况下，如果用户已经登录到网络中，则身份验证可能是透明的。

也就是说，许多SSO系统采用的方法是将用户重定向到登录HTML表单，然后使用cookie维护会话状态。主要的好处之一是您可以更好地控制登录界面的外观和感觉。由于SSO系统有一个会话cookie，它可以以自己的(可能是专有的)方式获得维护状态的所有权。