我想知道是否有人对我的场景有简化的解决方案,我现在没有主意了。
我有一个WebAPI服务,我希望它位于调用它的网站之外的另一个域上。该服务已得到保护,因此需要基本身份验证。
我想从jQuery调用它,在jQuery中,由于不能设置请求头,所以不能发送"jsonp"请求,而且我不能使用json,因为我必须使用IE6/7不支持的CORS,所以这也是不可行的。
有没有其他选择可以让我的场景发挥作用?
如果您要在Javascript中创建auth头,这将使您的身份验证/安全变得毫无意义(客户端=凭证对任何客户端都可见)。
您还可以在url中发送基本身份验证凭据(而不是标头):http://user:pass@my_domain.com(您应该使用而不是)。
您可以在实际执行http request的调用应用程序中创建/调用服务器端"代理"——您可以完全控制所需的任何标头。
由于您正在实现基本身份验证明文,希望您也能使用SSL。您的凭据对客户端不可见(调用在服务器端)。
然后,该调用将是Javascript/jQuery的"本地"调用。
问题:除非您过滤/验证对代理的请求,否则它几乎使身份验证变得毫无意义。
Hth。。。。