[問題] webserver boa 問題

作者carpo5279 (carpo5279)

看板LinuxDev

標題[問題] webserver boa 問題

時間Thu Feb 2 17:14:24 2017

目前有個問題瀏覽器上輸入ip後連接server時會跳出一個要求輸入帳號密碼的認證視窗 http://imgur.com/a/zlL2e 想問這個認證視窗是在server裡的哪個程式呼叫的? 謝謝以下內容針對yvb提出的問題做回覆這個BUG就像你推文所說的，不同瀏覽器對於認證失敗後的處理有所不同，上頭是把這個情況當作是一個BUG，目標是希望能夠都是3次認證失敗導向一個錯誤訊息的頁面我對http只有接觸這個bug才去了解而已， HTTP status, HTTP header, HTTP auth 這邊都有去稍微了解，有找到server 裡對應到的code， HTTP cookie這部分還不是很了解，沒有找到對應的code 至於認證的處理當server判斷使用者沒通過認證會回401狀態，好像是由這裡來完成的 void send_r_unauthorized(request * req, const char *realm_name) { SQUASH_KA(req); req->response_status = R_UNAUTHORIZED; if((req->http_version != HTTP09)) { req_write(req, http_ver_string(req->http_version)); req_write(req, " 401 Unauthorized" CRLF); print_http_headers(req); req_write(req, "WWW-Authenticate: Basic realm=\".\"" ); req_write(req, realm_name); req_write(req, CRLF); req_write(req, "Content-Type: " HTML CRLF CRLF); /* terminate header */ } .. } 我在更改的時候也是在這附近更改，單純加入一個變數當作他送出認證的次數，超過 3次就不執行if的那段code，這樣雖然可以達到目的，但有個問題是，當我在網頁按f5或是開啟新頁面連接時，我找不到一個正確位置來重置這個變數，導致它一直停留在錯誤訊息頁面當server在檢查使用者帳號密碼這部分，我有看到boa server裡有code是在做這方面的處理，我對你所提到的那些方法不懂，所以不確定它裡面有沒有使用到那些方法。謝謝 ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.147.6.146 ※ 文章網址: https://www.ptt.cc/bbs/LinuxDev/M.1486026867.A.54E.html

推 yvb: 應該是 server 回應 401 的 HTTP狀態碼, 由瀏覽器自行產生的. 02/03 06:29

→ yvb: 看了一下boa源碼,該回應即response.c的send_r_unauthorized() 02/03 06:43

→ carpo5279: 好，謝謝，我在研究一下，有問題可以用站內信問你嗎? 02/03 09:51

推 yvb: 站內信當然可以,但我未必懂. 在此和大家一同討論應該更好. 02/03 18:03

→ carpo5279: 我大概了解了，但我想請教另個問題，要如何設計瀏覽器 02/05 23:02

→ carpo5279: 在輸入3次錯誤後，自動導向一個錯誤訊息的頁面，主要是 02/05 23:04

→ carpo5279: 如何抓到瀏覽器輸入錯誤3次的值。 02/05 23:06

推 yvb: 光靠401產生認證視窗的方式沒辦法,只能依賴瀏覽器本身行為, 02/06 19:44

→ liang168: Boa 是很久的東西為何還要用？ 02/06 19:46

→ yvb: 比如 IE 會在3次錯誤後停止嘗試, Chrome 仍繼續跳認證視窗. 02/06 19:46

→ yvb: HTTP本身是stateless的, server無法確認是否同一瀏覽器錯幾次 02/06 19:51

→ yvb: 因此需要引入stateful機制如cookie/session/url-ext之類, 02/06 19:53

→ yvb: 使用如多數用戶網站的登入, 搭配後台程式進行驗證及計次等... 02/06 19:58

→ carpo5279: liang168,我是公司新人被叫去修產品BUG，裡面有用到boa 02/06 21:15

→ carpo5279: yyb,我瀏覽器帳號密碼輸入正確後，之後再連就不需要輸 02/07 09:08

→ carpo5279: 入帳號密碼，所以伺服器是不是已經有採用session..之 02/07 09:10

→ carpo5279: 類的方法，謝謝。 02/07 09:11

→ CP64: basic auth 瀏覽器會把他 cache 起來一段時間就是 02/07 10:05

→ CP64: 至於 session 或是 cookie 之類的要看你的 cgi 有沒有做 02/07 10:06

推 yvb: 原來是貴公司的產品用到. 所以是視瀏覽器對 HTTP 認證失敗的 02/07 20:02

→ yvb: 後續行為不同為 bug? 不知您對 HTTP 這個協定中, 諸如 02/07 20:02

→ yvb: HTTP status, HTTP header, HTTP auth, HTTP cookie 的了解 02/07 20:03

→ yvb: 情況如何; 以及認證這部分, 在產品中的內部運作流程又是如何, 02/07 20:03

→ yvb: 是直接改寫 boa 程式碼逹成, 或是使用 uClinux boa 的 auth 02/07 20:04

→ yvb: 搭配設定檔, 還是叫用 cgi/scripting 來處理認證? 02/07 20:04

→ carpo5279: 我用站內信跟你說明，這邊回應有點麻煩。 02/08 21:05

→ yvb: 發文者應該可以用大寫 E 編輯文章啊... 02/08 21:16

※ 編輯: carpo5279 (36.231.52.106), 02/08/2017 22:29:52

推 yvb: 編輯若非修改原內容, 而是追加, 回推文, 那寫在推文下較佳. 02/10 18:53

→ yvb: 其實 HTTP auth 最大的問題(缺點)就是定義得太簡單,缺少諸如 02/10 18:56

→ yvb: 檢查次數,要求登出等機制 (無法登出是否又會被當另一個bug?) 02/10 18:58

→ yvb: 所以一切要靠browser自定行為. 不知貴公司是怎樣的產品, 02/10 19:02

→ yvb: 登入成功的後續是靜態網頁?CGI?或是仍在boa中加怎樣的處理? 02/10 19:03

→ yvb: 若是另外使用CGI或scripting languages (asp,php...), 02/10 19:05

→ yvb: 那也許考慮把認證機制做成cookie/session型式會更好. 02/10 19:07

→ yvb: 是否一定堅持要使用HTTP auth ? 02/10 19:08

→ yvb: 雖然 HTTP auth 搭配 cookie 可能還是有 partial solution, 02/10 19:09

→ yvb: 但使用上應該還蠻蹩腳的... 02/10 19:11

→ yvb: 大致上是認證失敗就檢查是否有某cookie,沒有就設定初值, 02/10 19:13

→ yvb: 有就檢查是第幾次的值,然後重設新值或設定清除; 02/10 19:15

→ yvb: 若認證成功也要設定清除. 02/10 19:16

→ carpo5279: 好，謝謝，我在研究一下。 02/11 19:44