避免 Chrome 扩展中的 HTTP 身份验证弹出窗口（摘要）

Question

我目前正在开发一个 chrome 扩展，我需要访问一些受 http-auth 保护的资源（webdav）。 HTTP 身份验证使用（在最好的情况下）摘要身份验证。

我可以使用 https://login: 直接在 ajax 请求中进行身份验证： [电子邮件受保护]/path/to/ressource 表单。

问题是：如果登录/密码错误，我不能只得到 401 状态（未经授权），Chrome 会弹出常规身份验证对话框。我不希望这样做，因为它会让用户感到困惑，而且我无法从这里保存凭据。

编辑：我面临的另一个用例是：我想检查资源是否受密码保护，而不尝试提供实际访问它的凭据。

关于如何在不弹出 Chrome 身份验证框的情况下捕获 401 的任何想法吗？

Answer 1

Google Chrome 团队已在 Google Chrome 22 中实现了 onAuthRequired 事件，因此现在可以检测何时需要 HTTP 基本身份验证。

事实上，我编写了一个扩展，它使用 onAuthRequired 事件自动发送 HTTP 基本身份验证凭据。

它可以在 Google Chrome 官方网络商店免费获得：
https://chrome.google.com/webstore/detail/basic-authentication -auto/dgpgkkfheijbcgjklcbnokoleebmeokn

onAuthRequired 事件的使用示例：

sendCredentials = function(status)
{   
    console.log(status);
    return {username: "foo", password: "bar"};
}

chrome.webRequest.onAuthRequired.addListener(sendCredentials, {urls: ["<all_urls>"]}, ["blocking"]);

您需要向清单文件添加正确的权限才能使用 onAuthRequired。

"permissions": [ "http://*/*", "https://*/*", "webRequest", "webRequestBlocking", "tabs" ],

下载扩展并检查源代码以获得更好的方法。

即使请求是从另一个分机发起的，它也应该起作用。

Answer 2

这似乎确实是 Chrome 行为的缺失，其他人希望看到 Chris 强调的 mozBakgroundRequest 的内容，已经有 相关错误报告。

bugtracker 中的一些开发人员建议了一些（hackish）解决方法：

• 使用 webworker 和超时来执行请求，
• 对后台页面执行相同的操作

在这两种情况下，好处是它不会弹出身份验证框...但你永远不会知道这是真正的服务器超时还是 401。（我没有测试这些解决方法）。

Answer 3

我认为这是不可能的。如果您使用浏览器的 http 客户端，那么它将提示用户输入 401 凭据。

编辑：在 mozilla land https://developer.mozilla.org/en/XMLHttpRequest 查看“mozBackgroundRequest”。