HTTP 401 - o que é um valor de cabeçalho WWW-Authenticate apropriado?

O aplicativo em que estou trabalhando no momento tem um valor de tempo limite de sessão. Se o usuário não interagir por mais tempo do que esse valor, na próxima página que tentar carregar, será solicitado que ele faça login.

Todas as solicitações feitas são roteadas por meio desse mecanismo, que inclui chamadas AJAX. Originalmente, estávamos enviando um cabeçalho 200 com a página de login, o que introduz alguns problemas com AJAX, uma vez que o código é executado se uma resposta 200 for enviada, e a maioria dos dados enviados de volta dessas chamadas RPC é JSON ou JavaScript bruto que é avaliado (não pergunte: |).

Sugeri que um 401 é melhor, já que nosso analisador JSON não tentará consumir uma página de login HTML .. :)

Ao ler a especificação , porém, percebi que o WWW-Authenticatecampo também deve ser enviado.

Qual é um bom valor para este campo? Será o Application Loginsuficiente?

Ao indicar a autenticação básica HTTP, retornamos algo como:

WWW-Authenticate: Basic realm="myRealm"

Considerando que Basicé o esquema e o restante é muito dependente desse esquema. Nesse caso, o domínio apenas fornece ao navegador um literal que pode ser exibido ao usuário ao solicitar o ID do usuário e a senha.

Obviamente, você não está usando o Basic, pois não faz sentido ter uma sessão expirada quando o Basic Auth é usado. Presumo que você esteja usando alguma forma de autenticação baseada em formulários.

Da lembrança, o Windows Challenge Response usa um esquema diferente e argumentos diferentes.

O truque é que depende do navegador determinar quais esquemas ele suporta e como responde a eles.

Minha intuição, se você está usando autenticação baseada em formulários, é permanecer na página 200 + de relogin, mas adicionar um cabeçalho personalizado que o navegador irá ignorar, mas que o AJAX pode identificar.

Para obter uma experiência realmente boa de Usuário + AJAX, faça com que o script mantenha a solicitação AJAX que encontrou a sessão expirada, dispare uma solicitação de relogin por meio de um pop-up e, em caso de sucesso, reenvie a solicitação AJAX original e continue normalmente.

Evite o cheat que apenas faz com que o script chegue ao site a cada 5 minutos para manter a sessão ativa, pois isso acaba com o ponto de expiração da sessão.

A outra alternativa é gravar a solicitação AJAX, mas isso é uma experiência do usuário ruim.

Não, você terá que especificar o método de autenticação a ser usado (normalmente "Básico") e o domínio de autenticação. Consulte http://en.wikipedia.org/wiki/Basic_access_authentication para um exemplo de solicitação e resposta.

Você também pode ler RFC 2617 - Autenticação HTTP: autenticação de acesso básica e resumida .

Quando a sessão do usuário atinge o tempo limite, eu envio de volta um código de status HTTP 204. Observe que o status HTTP 204 não contém conteúdo. No lado do cliente, eu faço o seguinte:

xhr.send(null);
if (xhr.status == 204) 
    Reload();
else 
    dropdown.innerHTML = xhr.responseText;

Aqui está a função Reload ():

function Reload() {
    var oForm = document.createElement("form");
    document.body.appendChild(oForm);
    oForm.submit();
    }