[linux] Re: Logout in http?

[Paul Slootman]

On Wed 28 Dec 2005, Jan Gnodde wrote:
> Op dinsdag 27 december 2005 23:14, schreef Hugo van der Kooij:
> 
> > Hoewel de apache docs er op wijzen dat een logout met basic of digest
> > authentication heeft iemand wellicht een truukje bedacht hierop.
> >
> > Ik dacht aan iets simpels als de gebruiker met een andere (verkeerde)
> > account op te zadelen in zijn browser zodat het spel weer van voor af aan
> > begint. Maar wellicht is er een charmantere manier.
> 
> Ik weet niet of PHP dezelfde authentication-mechanismes gebruikt, maar als dat 
> het geval is kun je $PHP_AUTH_USER en/of $PHP_AUTH_PW resetten...?

Het probleem met http auth is dat de browser "weet" dat ie voor die site
steeds de auth info mee moet sturen; alleen de 1e keer doet zal ie aan
de gebruiker de username + password opvragen. Je moet dus de browser
overtuigen om die info niet meer mee te sturen.

Als je alleen binnen PHP die vars reset, dan stuurt de browser die info
nog steeds telkens mee; alleen doe jij binnen je script er niks meer
mee. Vergeet niet dat bij elke klik je in principe een nieuwe verbinding
start, en dus ook steeds opnieuw de PHP script start.

Er is dus geen goeie methode voor het "uitloggen", want je logt
feitelijk telkens opnieuw in wanneer je een pagina opvraagt...
Dit zou dus aan de kant van de browser opgelost moeten worden.


Paul Slootman