Persiste a autenticação básica entre os protocolos

1

Eu mantenho um site que usa autenticação básica para impedir que usuários externos o visualizem (é um ambiente de teste / teste aberto na Internet). O site está disponível em conexões não seguras (HTTP) com algumas páginas (como os formulários de login / registro) que exigem conexões seguras (HTTPS). O site tem um log baseado em cookie separado, mas isso é personalizado e não usa APIs fornecidas pela estrutura (I.E. Forms Authentication)

Nesse ambiente, quando um usuário fez login com êxito na página inicial do site por meio de uma conexão não segura e, em seguida, clica em um link para abrir uma página segura, ele é solicitado a efetuar login novamente por meio da autenticação básica. Meu cliente solicitou que esse segundo login seja removido.

Existe uma maneira de fazer a autenticação básica persistir através do switch de protocolo (HTTP - > HTTPS) sem requerer um login novamente?

    
por Kyle Trauberman 02.07.2014 / 20:31

2 respostas

1

Não.

Como seu URL está mudando, seu navegador pára de enviar o cabeçalho Authorization: , embora o território possa ser o mesmo em HTTP e HTTPS.

Como a autenticação básica envia credenciais de texto simples, a melhor prática é redirecionar todos os usuários que acessam um espaço de URL "protegido" com autenticação básica para HTTPS.

    
por 02.07.2014 / 21:29
0

Você pode tentar algo como ADFS ou TMG (ou um produto semelhante) para obter recursos de "Logon único".

Não é recomendado usar a autenticação básica sobre HTTP.

    
por 03.07.2014 / 07:24