Подавить диалоговое окно NTLM после неавторизованного запроса
В недавнем проекте sharepoint я реализовал веб-часть аутентификации, которая должна заменить диалоговое окно аутентификации NTLM. Он отлично работает, пока пользователь предоставляет действительные учетные данные. Всякий раз, когда пользователь предоставляет недопустимые учетные данные, в Internet Explorer появляется диалоговое окно NTLM.
Мой код Javascript, который выполняет аутентификацию через XmlHttpRequest, выглядит так:
function Login() {
var request = GetRequest(); // retrieves XmlHttpRequest
request.onreadystatechange = function() {
if (this.status == 401) { // unauthorized request -> invalid credentials
// do something to suppress NTLM dialog box...
// already tried location.reload(); and window.location = <url to authentication form>;
}
}
request.open("GET", "http://myServer", false, "domain\username", "password");
request.send(null);
}
Я не хочу, чтобы диалоговое окно NTLM отображалось, когда пользователь предоставляет недопустимые учетные данные. Вместо этого должна быть выполнена обратная передача по кнопке входа в систему в форме аутентификации. Другими словами, браузер не должен узнавать о моем несанкционированном запросе.
Есть ли способ сделать это через Javascript?
Ответы 3
IIRC, браузер открывает диалоговое окно аутентификации, когда в потоке запроса возвращается следующее:
- HTTP-статус 401
- Заголовок WWW-Authenticate
Я предполагаю, что вам нужно подавить одно или оба из них. Самый простой способ сделать это - иметь метод входа в систему, который будет принимать имя пользователя и пароль Base64 (вы используете HTTPS, верно?) И возвращать 200 с действительным / недействительным статусом. После подтверждения пароля вы можете использовать его с XHR.
Комментарий отметка правильный; Приглашение NTLM auth запускается кодом ответа 401 и присутствием NTLM в качестве первого механизма, предлагаемого в заголовке WWW-Authenticate (Ref: Протокол аутентификации NTLM).
Я не уверен, правильно ли я понимаю описание вопроса, но я думаю, что вы пытаетесь обернуть проверку подлинности NTLM для SharePoint, что означает, что у вас нет контроля над протоколом проверки подлинности на стороне сервера, верно? Если вы не можете манипулировать серверной частью, чтобы избежать отправки ответа 401 на неудачные учетные данные, вы не сможете избежать этой проблемы, потому что это часть спецификации (на стороне клиента):
Объект XMLHttpRequest
If the UA supports HTTP Authentication [RFC2617] it SHOULD consider requests originating from this object to be part of the protection space that includes the accessed URIs and send Authorization headers and handle 401 Unauthorised requests appropriately. if authentication fails, UAs should prompt the users for credentials.
Таким образом, спецификация фактически требует, чтобы браузер запрашивал пользователя соответствующим образом, если какой-либо ответ 401 получен в XMLHttpRequest, как если бы пользователь получил доступ к URL-адресу напрямую. Насколько я могу судить, единственный способ действительно избежать этого - получить контроль над серверной частью и избежать несанкционированного ответа 401, как упоминал Марк.
Последняя мысль заключается в том, что вы можете обойти это, используя прокси, например отдельный серверный скрипт на другом веб-сервере. Затем этот сценарий принимает параметр user and pass и проверяет аутентификацию, чтобы браузер пользователя не выполнял исходный HTTP-запрос и, следовательно, не получил ответ 401, вызывающий приглашение. Если вы сделаете это таким образом, вы можете узнать из своего «прокси-скрипта», не удалось ли он, и если да, то снова запрашивать пользователя, пока он не завершится успешно. При успешном событии аутентификации вы можете просто получить HTTP-запрос, как сейчас, поскольку все работает, если учетные данные указаны правильно.
Мне удалось заставить это работать для всех браузеров, кроме firefox. См. Мой пост в блоге несколько лет назад. Мой пост предназначен только для IE, но с небольшими изменениями кода он должен работать в Chrome и Safari.
http://steve.thelineberrys.com/ntlm-login-with-anonymous-fallback-2/
Обновлено:
Суть моего сообщения заключается в том, чтобы заключить ваш XML-вызов JS в оператор try catch. В IE, Chrome и Safari это отключит диалоговое окно NTLM. Похоже, что в firefox он работает не так, как ожидалось.
Да, я подумал, что это не имеет большого значения, так как ответ уже был получен. Мой ответ длинный и сложный и уже был сформулирован из моего сообщения несколько лет назад, поэтому я не копировал и не вставлял свой пост в ответ. Я просто пытался помочь кому-то другому искать и пытаться найти ответ, поскольку приведенные выше ответы вообще не касаются вопроса OP.
Спасибо, что разместили свой ответ! Обратите внимание, что вы должны опубликовать основные части ответа здесь, на этом сайте, иначе ваше сообщение может быть удалено. См. FAQ, где упоминаются ответы, которые «не более чем ссылка». Вы все равно можете включить ссылку, если хотите, но только в качестве «ссылки». Ответ должен стоять сам по себе, без ссылки.