authentication采用的什么协议？如果是Windows集成身份验证，那么不管是Kerberos还是NTLM都不是简单附加header的事情

【 在 ideaful (Drune) 的大作中提到: 】
: 上传文件时，表单包含文件控件input type="file", form enctype="multipart/form-data"，提交表单到某个url,这个url需要authentication, 提交表单后会弹出登录框，提示输入验证信息，怎样在form中加入相应的header, 让登录过程自动化？
--
FROM 123.118.102.*

关键是用什么协议，如果是Http Basic Authentication的话，可以先用一个XHR获取凭证，然后提交Form就不会弹出对话框了，XHR有个方法可以把用户名密码传过去

void open(DOMString method, DOMString url, boolean async, DOMString? user, DOMString? password)

【 在 ideaful (Drune) 的大作中提到: 】
: 不是Windows集成身份验证，系统自有验证，比如说简单的basic authentication
--
FROM 123.118.104.*

真墨迹，你直接说啥协议不就完了么，能让浏览器蹦出框来的就那么几个

【 在 ideaful (Drune) 的大作中提到: 】
: 谢谢。
: 如果不是basic authentication, 是基于token的验证呢，比如RSA token
--
FROM 123.118.110.*

既然要自己控制，统一改成先登录，再填form不就完了么

为啥总要反着来，不觉得怪异么

【 在 ideaful (Drune) 的大作中提到: 】
: 现在是basic authentication, 以后肯定要改成token或者别的更安全的方式。
: 也不一定就是让浏览器弹出登陆框，如果form action 对应的url需要authentication，可能就会出现系统自己的登陆框，那样的话能有什么办法吗？
--
FROM 123.118.110.*

我问的是为什么不在用户操作前先校验身份，而要等用户填完了form才想起要校验身份

这跟用什么协议没关系，是你work flow设计的问题

另外，你这个api a和api b是谁来调，难道是浏览器？那跟form又有什么关系

如果是处理form的服务端，那又怎么会弹登录框

你还是先把条理理清楚，说不清楚就画图

【 在 ideaful (Drune) 的大作中提到: 】
: 系统需要提供api a和 api b（都需要authentication,使用同一套authentication mechanism，但部署时可能使用不同的domain)，同时还要提供web gui.
: web gui会有登录页面，登录之后，可能会call api a, api b，这时需要借助用户的验证信息，否则就会弹出登陆框，或者登录页面。
: 目前使用的是basic authentication,考虑将来换成其他安全的方式，那时不知道还有没有什么办法在程序中控制登录？如果不行，就要考虑在server端支持sso了。
--
FROM 114.241.176.*