У меня есть защищенный каталог для загрузок.
Защищенный файл в / downloads имеет этот заголовок:
WWW-Authenticate: Basic realm = "Downloads"
IЯ защищаю его с помощью .htaccess:
AuthBasicProvider ldap
AuthName "Downloads"
<Limit GET>
Order Deny,Allow
Deny from all
Require valid-user
Allow from 192.168.1.2
Satisfy any
</Limit>
Если я не перехожу с 192.168.1.2, мне нужно авторизоваться через LDAP или при сбое аутентификации получить сообщение 401 не авторизовано.
Иногда, когда нет 192.168.1.2, кажется, что я получаю ошибку 401 без запроса учетных данных при попытке загрузить файл в браузере впервые.
При перезагрузке появится приглашение auth.Как будто сервер думает, что браузер попытался и не смог авторизоваться.
Но я уверен, что это не так, так как это первый визит с момента открытия браузера.Это не всегда происходит.
Когда я замечаю проблему, я обычно захожу через SSO на другой сайт, например, foo.bar.com, субдомен сайта сзагрузки.Сайт с загрузками, www.bar.com, не использует единый вход для foo.bar.com.
Кроме того, пользователи, переходящие по ссылке на загрузку, нажимают ссылку HTTP, но сайт загрузки перенаправляет наHTTPS (и любой запрос учетных данных выполняется через HTTPS), сайт использует HSTS для поддержки HTTPS в других случаях.Я не уверен, может ли это быть связано.
Есть ли какой-нибудь способ, которым я всегда могу форсировать подсказку (при условии, что я не на 192.168.1.2)?Могу ли я что-то сделать с перезаписью и заголовком аутентификации?
Есть идеи, почему меня не всегда запрашивают учетные данные?