Использовать базовую аутентификацию с JQuery и Ajax

Question

Использовать базовую аутентификацию с JQuery и Ajax

295

Я пытаюсь создать базовый auth через браузер, но я не могу туда попасть.

Если этого script здесь не будет, авторизация браузера возьмет верх, но я хочу сообщить браузеру, что пользователь собирается выполнить аутентификацию.

Адрес должен выглядеть примерно так:

http://username:[email protected]/

У меня есть форма:

<form name="cookieform" id="login" method="post">
      <input type="text" name="username" id="username" class="text"/>
      <input type="password" name="password" id="password" class="text"/>
      <input type="submit" name="sub" value="Submit" class="page"/>
</form>

И script:

var username = $("input#username").val();
var password = $("input#password").val();  

function make_base_auth(user, password) {
  var tok = user + ':' + password;
  var hash = Base64.encode(tok);
  return "Basic " + hash;
}
$.ajax
  ({
    type: "GET",
    url: "index1.php",
    dataType: 'json',
    async: false,
    data: '{"username": "' + username + '", "password" : "' + password + '"}',
    success: function (){
    alert('Thanks for your comment!'); 
    }
});

Patrioticcow 01 апр. 2011, в 00:29

Источник

6

То есть вы не хотите, чтобы браузер обрабатывал основную аутентификацию? Почему бы просто не использовать аутентификацию на основе форм?
no.good.at.coding 31 март 2011, в 22:47
0

@ no.good.at.coding Если вам требуется интеграция со сторонним API за аутентификацией (что я и пытаюсь сделать - developer.zendesk.com/rest_api/docs/core/… )
Brian Hannay 13 янв. 2017, в 04:37

Теги:

javascript

jquery

ajax

authentication

10 ответов

302

Как меняются вещи через год. В дополнение к атрибуту заголовка вместо xhr.setRequestHeader, текущий jQuery (1.7.2+) содержит атрибут имени пользователя и пароля с вызовом $.ajax.

$.ajax
({
  type: "GET",
  url: "index1.php",
  dataType: 'json',
  async: false,
  username: username,
  password: password,
  data: '{ "comment" }',
  success: function (){
    alert('Thanks for your comment!'); 
  }
});

ИЗМЕНИТЬ из комментариев и других ответов: Чтобы быть понятным - чтобы предварительно отправить аутентификацию без ответа 401 Unauthorized вместо setRequestHeader (pre -1.7), используйте 'headers':

$.ajax
({
  type: "GET",
  url: "index1.php",
  dataType: 'json',
  async: false,
  headers: {
    "Authorization": "Basic " + btoa(USERNAME + ":" + PASSWORD)
  },
  data: '{ "comment" }',
  success: function (){
    alert('Thanks for your comment!'); 
  }
});

jmanning2k 14 авг. 2012, в 22:26

15

Разве это не username а не user ? Кроме того, это не совсем то же самое: из онлайн-документации и моего опыта, похоже, что это не является преимуществом, как того требуют некоторые API. Другими словами, он отправляет заголовок Authorization только тогда, когда возвращается код 401.
Stefano Fratini 19 нояб. 2012, в 02:23
3

@StefanoFratini - вы правы в обоих случаях. Исправлено поле имени пользователя, и полезно знать о преимущественной аутентификации против ответа только на вызов. Установка заголовка явно, как и в других ответах, позволит использовать этот «пассивный» вариант базовой аутентификации.
jmanning2k 24 янв. 2013, в 18:39
0

для меня вышеупомянутый вариант не работал, это работало как шарм .. спасибо
Anoop Isaac 17 нояб. 2013, в 01:02
0

См. Выше комментарий, пожалуйста, исправьте этот ответ, чтобы указать {"Авторизация": "Basic" + btoa ("user: pass")} в качестве правильного заголовка
Jay 25 июнь 2014, в 17:14
0

Я думаю, что последний jQuery поддерживает setRequestHeader вместо «заголовков»
mike_hornbeck 12 авг. 2014, в 11:28
2

Это ответ, который я искал! Ключевой бит в этом ответе для меня - как заголовок используется для упреждающей отправки аутентификации. Мой вопрос здесь ответил этим. stackoverflow.com/questions/28404452/...
Steven Anderson 10 фев. 2015, в 01:19
0

@ jmanning2k ты спас нашу жизнь!
Alessio Cantarella 12 сен. 2018, в 14:49

Показать ещё 5 комментариев

56

Используйте перед отправкой обратного вызова, чтобы добавить HTTP-заголовок с данными аутентификации, например:

var username = $("input#username").val();
var password = $("input#password").val();  

function make_base_auth(user, password) {
  var tok = user + ':' + password;
  var hash = btoa(tok);
  return "Basic " + hash;
}
$.ajax
  ({
    type: "GET",
    url: "index1.php",
    dataType: 'json',
    async: false,
    data: '{}',
    beforeSend: function (xhr){ 
        xhr.setRequestHeader('Authorization', make_base_auth(username, password)); 
    },
    success: function (){
        alert('Thanks for your comment!'); 
    }
});

Adrian Toman 08 март 2012, в 06:27

4

Вы должны заметить, что «btoa», используемый здесь для шифрования Base64, не поддерживается в версиях IE менее 10 и в некоторых мобильных платформах
SET 15 май 2013, в 07:42
1

также, согласно этому developer.mozilla.org/en-US/docs/DOM/window.btoa, вы должны использовать btoa (unescape (encodeURIComponent (str)))
SET 15 май 2013, в 07:47
0

@ SET, я думаю, это должно быть btoa (encodeURIComponent (escape (str)))
Saurabh Kumar 15 июль 2014, в 17:27
0

Я хотел получить ответ, поэтому избавился от ложной асинхронности и добавил параметр результата в функцию успеха. У меня также был предварительно сгенерированный заголовок авторизации, поэтому я использовал его вместо этого.
radtek 11 сен. 2014, в 16:00
1

Следует отметить @SET, Base64 - это не шифрование, это кодировка. Если бы это было шифрование, было бы очень просто декодировать его с помощью одного вызова функции.
Chris 11 авг. 2015, в 14:39
0

Я пытаюсь это сделать, и я не вижу заголовка авторизации, установленного в запросе (когда я смотрю на заголовки, которые фактически отправляются с помощью вкладки сети). И я получаю сообщение об ошибке в консоли: «На запрошенном ресурсе отсутствует заголовок« Access-Control-Allow-Origin ». Поэтому источнику не разрешен доступ». Так что я не знаю, вызывает ли это отсутствие авторизации в запросе или что-то еще?
Elisabeth 09 фев. 2017, в 01:13
0

Ошибки @Elisabeth Access-Control-Allow-Origin возникают, когда HTTP-запросы между источниками (CORS) не разрешены. Это не связано с заголовком авторизации. Ваш API находится в том же домене, что и веб-страница? Если нет, вам нужно разрешить CORS на API.
Adrian Toman 09 фев. 2017, в 05:48
0

Спасибо Адриан. У меня должна быть ошибка в моем коде (отсутствует заголовок Auth). И да, мне нужно разрешить CORS на API.
Elisabeth 08 март 2017, в 19:33

Показать ещё 6 комментариев

37

Или просто используйте свойство заголовков, введенное в 1.5:

headers: {"Authorization": "Basic xxxx"}

Ссылка: jQuery Ajax API

AsemRadhwi 04 авг. 2012, в 00:45

25

Приведенные выше примеры немного запутывают, это, вероятно, лучший способ

$.ajaxSetup({
  headers: {
    'Authorization': "Basic " + btoa(USERNAME + ":" + PASSWORD)
  }
});

Я взял это из комбинации ответов Рико и Йосси

Функция btoa base64 кодирует строку

Paul Odeon 01 нояб. 2013, в 17:04

4

Это плохая идея, потому что вы будете отправлять регистрационную информацию со всеми запросами AJAX, независимо от URL. Также в документации к $.ajaxSetup() говорится: «Установите значения по умолчанию для будущих запросов Ajax. Его использование не рекомендуется ».
Zero3 11 фев. 2016, в 12:10

22

Используйте функцию jQuery ajaxSetup, которая может устанавливать значения по умолчанию для всех запросов ajax.

$.ajaxSetup({
  headers: {
    'Authorization': "Basic XXXXX"
  }
});

Yossi Shasho 15 нояб. 2012, в 11:07

19

Как и другие, вы можете установить имя пользователя и пароль непосредственно в вызове ajax:

$.ajax({
  username: username,
  password: password,
  // ... other params.
});

ИЛИ используйте свойство заголовков, если вы предпочитаете не хранить свои кредиты простым текстом:

$.ajax({
  headers: {"Authorization": "Basic xxxx"},
  // ... other params.
});

Каким бы способом вы его не отправили, сервер должен быть очень вежлив. Для Apache ваш файл .htaccess должен выглядеть примерно так:

<LimitExcept OPTIONS>
    AuthUserFile /path/to/.htpasswd
    AuthType Basic
    AuthName "Whatever"
    Require valid-user
</LimitExcept>

Header always set Access-Control-Allow-Headers Authorization
Header always set Access-Control-Allow-Credentials true

SetEnvIf Origin "^(.*?)$" origin_is=$0
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

Объяснение:

Для некоторых запросов на междоменные запросы браузер отправляет запрос OPTIONS предпросмотра, в котором отсутствуют заголовки заголовков. Оберните свои директивы auth внутри тега LimitExcept, чтобы правильно реагировать на предполетную проверку.

Затем отправьте несколько заголовков, чтобы сообщить обозревателю, что он разрешен для аутентификации, и Access-Control-Allow-Origin, чтобы предоставить разрешение для запроса на межсайтовый сайт.

В некоторых случаях подстановочный символ * не работает как значение для Access-Control-Allow-Origin: вам нужно вернуть точную область вызываемого абонента. Используйте SetEnvIf для захвата этого значения.

SharkAlley 30 янв. 2014, в 07:27

4

Спасибо за информацию, что браузеры отправляют предварительный запрос CORS без заголовков аутентификации! Такие детали могут привести к часам отладки!
jbandi 13 апр. 2014, в 21:58

10

JSONP не работает с базовой аутентификацией, поэтому обратный вызов jQuery beforeSend не будет работать с JSONP/ Script.

Мне удалось обойти это ограничение, добавив пользователя и пароль к запросу (например, user: [email protected]). Это работает практически с любым браузером, но IE, где аутентификация через URL-адреса не поддерживается (вызов просто не будет выполнен).

См. http://support.microsoft.com/kb/834489.

arnebert 10 фев. 2012, в 11:43

0

на сафари тоже не работает
eballeste 16 дек. 2016, в 20:06
0

думаю, что в плане безопасности это разумный выбор, чтобы не допустить этого
George Birbilis 21 сен. 2017, в 10:58
0

Ссылка не работает (404).
Peter Mortensen 06 март 2018, в 11:06

Показать ещё 1 комментарий

4

Согласно ответу SharkAlley, он также работает с nginx, Я искал решение для получения данных с помощью jQuery с сервера за nginx и ограниченным Base Auth, это работает для меня:

server {
    server_name example.com;

    location / {
        if ($request_method = OPTIONS ) {
            add_header Access-Control-Allow-Origin "*";
            add_header Access-Control-Allow-Methods "GET, OPTIONS";
            add_header Access-Control-Allow-Headers "Authorization";
# not necessary
#            add_header Access-Control-Allow-Credentials "true";
#            add_header Content-Length 0;
#            add_header Content-Type text/plain;

            return 200;
        }

        auth_basic "Restricted";
        auth_basic_user_file /var/.htpasswd;

        proxy_pass              http://127.0.0.1:8100;
    }
}

И JS:

var auth = btoa('username:password');
$.ajax({
    type: 'GET',
    url: 'http://example.com',
    headers: {
        "Authorization": "Basic " + auth
    },
    success : function(data) {
    },

});

Статья, которую я считаю полезной:

эта тема отвечает
http://enable-cors.org/server_nginx.html
http://blog.rogeriopvl.com/archives/nginx-and-the-http-options-method/

Max 10 фев. 2015, в 19:59

2

Существует 3 способа достижения этого, как показано ниже.

Метод 1:

var uName="abc";
var passwrd="pqr";

$.ajax({
    type: '{GET/POST}',
    url: '{urlpath}',
    headers: {
        "Authorization": "Basic " + btoa(uName+":"+passwrd);
    },
    success : function(data) {
      //Success block  
    },
   error: function (xhr,ajaxOptions,throwError){
    //Error block 
  },
});

Метод 2:

var uName="abc";
var passwrd="pqr";

$.ajax({
    type: '{GET/POST}',
    url: '{urlpath}',
     beforeSend: function (xhr){ 
        xhr.setRequestHeader('Authorization', "Basic " + btoa(uName+":"+passwrd)); 
    },
    success : function(data) {
      //Success block 
   },
   error: function (xhr,ajaxOptions,throwError){
    //Error block 
  },
});

Способ 3:

var uName="abc";
var passwrd="pqr";

$.ajax({
    type: '{GET/POST}',
    url: '{urlpath}',
    username:uName,
    password:passwrd, 
    success : function(data) {
    //Success block  
   },
    error: function (xhr,ajaxOptions,throwError){
    //Error block 
  },
});

GSB 18 май 2017, в 11:13

Ещё вопросы

То есть вы не хотите, чтобы браузер обрабатывал основную аутентификацию? Почему бы просто не использовать аутентификацию на основе форм?
@ no.good.at.coding Если вам требуется интеграция со сторонним API за аутентификацией (что я и пытаюсь сделать - developer.zendesk.com/rest_api/docs/core/… )
Разве это не username а не user ? Кроме того, это не совсем то же самое: из онлайн-документации и моего опыта, похоже, что это не является преимуществом, как того требуют некоторые API. Другими словами, он отправляет заголовок Authorization только тогда, когда возвращается код 401.
@StefanoFratini - вы правы в обоих случаях. Исправлено поле имени пользователя, и полезно знать о преимущественной аутентификации против ответа только на вызов. Установка заголовка явно, как и в других ответах, позволит использовать этот «пассивный» вариант базовой аутентификации.
для меня вышеупомянутый вариант не работал, это работало как шарм .. спасибо
См. Выше комментарий, пожалуйста, исправьте этот ответ, чтобы указать {"Авторизация": "Basic" + btoa ("user: pass")} в качестве правильного заголовка
Я думаю, что последний jQuery поддерживает setRequestHeader вместо «заголовков»
Это ответ, который я искал! Ключевой бит в этом ответе для меня - как заголовок используется для упреждающей отправки аутентификации. Мой вопрос здесь ответил этим. stackoverflow.com/questions/28404452/...
Вы должны заметить, что «btoa», используемый здесь для шифрования Base64, не поддерживается в версиях IE менее 10 и в некоторых мобильных платформах
также, согласно этому developer.mozilla.org/en-US/docs/DOM/window.btoa, вы должны использовать btoa (unescape (encodeURIComponent (str)))
@ SET, я думаю, это должно быть btoa (encodeURIComponent (escape (str)))
Я хотел получить ответ, поэтому избавился от ложной асинхронности и добавил параметр результата в функцию успеха. У меня также был предварительно сгенерированный заголовок авторизации, поэтому я использовал его вместо этого.
Следует отметить @SET, Base64 - это не шифрование, это кодировка. Если бы это было шифрование, было бы очень просто декодировать его с помощью одного вызова функции.
Я пытаюсь это сделать, и я не вижу заголовка авторизации, установленного в запросе (когда я смотрю на заголовки, которые фактически отправляются с помощью вкладки сети). И я получаю сообщение об ошибке в консоли: «На запрошенном ресурсе отсутствует заголовок« Access-Control-Allow-Origin ». Поэтому источнику не разрешен доступ». Так что я не знаю, вызывает ли это отсутствие авторизации в запросе или что-то еще?
Ошибки @Elisabeth Access-Control-Allow-Origin возникают, когда HTTP-запросы между источниками (CORS) не разрешены. Это не связано с заголовком авторизации. Ваш API находится в том же домене, что и веб-страница? Если нет, вам нужно разрешить CORS на API.
Спасибо Адриан. У меня должна быть ошибка в моем коде (отсутствует заголовок Auth). И да, мне нужно разрешить CORS на API.
Это плохая идея, потому что вы будете отправлять регистрационную информацию со всеми запросами AJAX, независимо от URL. Также в документации к $.ajaxSetup() говорится: «Установите значения по умолчанию для будущих запросов Ajax. Его использование не рекомендуется ».
Спасибо за информацию, что браузеры отправляют предварительный запрос CORS без заголовков аутентификации! Такие детали могут привести к часам отладки!
думаю, что в плане безопасности это разумный выбор, чтобы не допустить этого

ggarber · Accepted Answer · 2011-03-31T23-40-00.000Z

317

Лучший ответ

Используйте jQuery beforeSend обратный вызов, чтобы добавить HTTP-заголовок с информацией аутентификации:

beforeSend: function (xhr) {
    xhr.setRequestHeader ("Authorization", "Basic " + btoa(username + ":" + password));
},

ggarber 31 март 2011, в 23:40

6

Я использую приведенный вами пример, но он не работает `$ .ajax ({url:" server.in.local / index.php ", beforeSend: function (xhr) {xhr.setRequestHeader (" Авторизация "," Базовый ”+ EncodeBase64 (« username: password »));}, succes: function (val) {// alert (val); alert (« Спасибо за ваш комментарий! »);}}); `
Patrioticcow 31 март 2011, в 23:07
68

beforeSend: function(xhr) { xhr.setRequestHeader("Authorization", "Basic " + btoa(username + ":" + password)); }; работает для меня
Rico Suter 26 июль 2013, в 08:11
12

Проблема ... Если учетные данные, которые я передаю, не срабатывают, то в Chrome пользователю предоставляется диалоговое окно для повторного ввода имени пользователя / pwd. Как я могу предотвратить появление этого 2-го диалога, если учетные данные не работают?
David 02 окт. 2013, в 00:47
1

Разве это не оставит имя пользователя и пароль открытыми для просмотра? Даже если это в base64, они могут просто декодировать его. То же самое с ответом ниже.
cbron 13 авг. 2014, в 17:32
5

@calebB Обычная аутентификация в общем просто оставляет имя пользователя и пароль открытыми для всех. Это не просто проблема с методом, описанным здесь. Если используется базовая аутентификация или действительно какая-либо аутентификация, то следует также использовать SSL.
Jason Jackson 10 сен. 2014, в 16:27

Показать ещё 3 комментария