Eine interessante Sache noch: Da ein HTTP-Authorization-Header über die gesamte Browsersession gesendet wird, auch dann wenn man zwischendurch völlig andere Authorities requestet, ist es möglich je nach Benutzer/Gruppe die Routingtable zu erweitern. Und zwar derart, daß bestimmte URLs eben erst nach einer Anmeldung erreichbar sind, andererseits jedoch einen Status 404 Not Found liefern.

Also, daßß hinter http://rolfrost.de/stats.html eine Anmeldung steckt ist nach außen hin gar nicht sichtbar, denn der böse Bot bekommt anstelle eines 401 einen 404.

Und daß in der an http://rolfrost.de/stats.html gebundenen Responseklasse gar keine Benutzerkennung mehr geprüft werden muß.

D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann!
Last edited: 2024-06-06 11:47:41 +0200 (CEST)