如何強行要求認證每個訪問的Web資源？

Question

我有一些基於表單的身份驗證保護Web服務器資源。要求具有一些高度安全的資源訪問權限，即使他/她先前經過身份驗證並擁有有效的cookie（身份驗證），也會強制用戶進行身份驗證。

會話中的身份驗證由特定的Cookie維護。解決這個問題的第一個想法是將cookie的「expires」值與返回日期一起傳遞給cookie。但是對於表單登錄而言，它無法正常工作，每次提供正確的憑證後，我都只能登錄登錄頁面。遇到帶有過期日期的過期值的cookie，cookie將被瀏覽器刪除。所以遇到這個登錄週期。

請告訴我該怎麼做。

Answer 1

此時身份驗證是不夠的。你將不得不實現多個級別的授權，一些級別沒有持久性令牌。互聯網上有許多資源解釋token-based auth。

基本認證（不要與相同名稱的HTTP方案混淆）只使用一個令牌來確定用戶是否登錄。只需將應用程序分成多個authz令牌領域並從那裏處理它。