ajax 请求需要 401 授权，但重试成功

Question

我们在服务器上使用 apache 和 NTLM：

NTLMAuth on
AuthType NTLM
AuthName "Auth"
NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
NTLMBasicAuthoritative on
require valid-user

当我们使用 ajax 时，这会出现错误，大多数 ajax 请求在第一次尝试时失败，并显示消息“401需要授权”，但在自动重试时它们会成功，为什么之间有区别两个请求？

我们的应用程序可以工作，但这个错误很烦人，占用资源并减慢应用程序的速度。

Answer 1

我怀疑您实际看到的不是某种“自动重试”行为，而是挑战-NTLM的响应认证。就其性质而言，您必须为连接上的第一个请求添加额外的往返。身份验证应该如下所示：

1. 客户端请求受 NTLM 身份验证保护的资源。
2. 服务器将回复 401 未经授权，并指示它支持的机制（在本例中为 NTLM）。
3. 客户端使用初始 NTLM 身份验证消息（“类型 1”消息）请求资源，其中包含用户的域和用户名以及客户端的功能。
4. 服务器以 401 未经授权和 NTLM 质询（“类型 2”消息）进行响应。
5. 客户端计算对服务器质询的响应，然后使用最终的 NTLM 身份验证消息（“类型 3”消息）请求资源。
6. 服务器以适当的代码进行响应 - 如果身份验证未成功，这将是 401，如果身份验证成功，这将是成功，未找到，等等。

所以是的，您将使用一些额外的资源来进行 NTLM 身份验证（无论如何，使用基本身份验证。）但请注意，NTLM 验证连接而不是请求。因此，通过同一保持活动 HTTP 连接的后续请求不需要重新进行身份验证。这减轻了挑战-响应性质的负担。

最后，请注意，大多数支持 NTLM 或 SPNEGO 的 Web 浏览器都为此做好了准备，并将使用 Expect/Continue。因此，它们不会在初始连接中发送 POST 数据（例如），直到它们通过身份验证并从服务器获得 HTTP 继续，这也应该减轻负担。