如何隐藏浏览器的身份验证对话框？

勾海超

2023-03-14

问题内容：

我的Web应用程序有一个登录页面，该页面通过AJAX调用提交身份验证凭据。如果用户输入正确的用户名和密码，则一切正常，但如果不正确，则会发生以下情况：

Web服务器确定尽管请求中包含格式正确的Authorization标头，但标头中的凭据未成功进行身份验证。
Web服务器返回401状态代码，并包含一个或多个列出受支持的身份验证类型的WWW-Authenticate标头。
浏览器检测到对我对XMLHttpRequest对象的调用的响应是401，并且该响应包含WWW-Authenticate标头。然后，它会弹出一个身份验证对话框，再次询问用户名和密码。

直到步骤3为止，一切都很好。我不想弹出对话框，我想处理AJAX回调函数中的401响应。（例如，通过在登录页面上显示错误消息。）当然，我希望用户重新输入用户名和密码，但是我希望他们看到我友好的，令人放心的登录表单，而不是浏览器的丑陋默认设置身份验证对话框。

顺便说一句，我无法控制服务器，因此让它返回自定义状态代码（即401以外的其他内容）不是一种选择。

有什么办法可以禁止身份验证对话框？特别是，我可以在Firefox 2或更高版本中取消“需要身份验证”对话框吗？有什么方法可以抑制IE
6及更高版本中的“连接到 [主机]” 对话框？

编辑
作者提供的其他信息（9月18日）：
我应该补充一点，弹出的浏览器身份验证对话框的真正问题在于，它无法向用户提供足够的信息。

用户刚刚通过登录页面上的表单输入了用户名和密码，他认为自己已经正确输入了二者，并且单击了提交按钮或按Enter。他的期望是他将被带到下一页，或者被告知他输入的信息不正确，应重试。但是，相反，他看到一个意外的对话框。

对话是没有的，他只是一个事实确认没有输入用户名和密码。它没有明确指出存在问题，他应该重试。而是，对话框为用户提供了诸如“该站点说：’ [领域]
‘”之类的神秘信息。其中 [realm] 是只有程序员才能喜欢的简短领域名称。

Web浏览器设计者应注意：如果对话框本身只是更加用户友好的，则没人会问如何隐藏身份验证对话框。我填写登录表单的全部
原因是我们的产品管理团队正确地认为浏览器的身份验证对话框很糟糕。

问题答案：

我认为这是不可能的-如果您使用浏览器的HTTP客户端实现，它将始终弹出该对话框。我想到两个技巧：