Come visto su link , ci sono alcuni modi interessanti di disconnettere un utente dall'autenticazione HTTP di base.
Attualmente sto inviando un HTTP 401 per farlo in questo modo:
GET logout.php
<?php
header('HTTP/1.1 401 Unauthorized', true, 401);
exit;
E su richieste successive, sono richiesto dal browser con le modalita 'credenziali. Facendo clic su Annulla, ricevo una risposta HTTP 401, il risultato desiderato.
Questa è un'applicazione interna e HTTPS è usato .
Ci sono potenziali problemi di sicurezza con questo? Sto usando il modulo LDAP (da qui l'autenticazione HTTP di base). Apache "cache" le credenziali in qualsiasi modo o sono le credenziali verificate con ogni richiesta da user-agent? C'è qualcos'altro che devo fare per garantire che le richieste senza credenziali valide dall'agente utente ricevano sempre una risposta HTTP 401?