home *** CD-ROM | disk | FTP | other *** search
/ Collection of Internet / Collection of Internet.iso / infosrvr / dev / www_talk.930 / 001177_sanders@bsdi.com _Mon May 24 20:34:16 1993.msg < prev    next >
Internet Message Format  |  1994-01-24  |  3KB
  1. Return-Path: <sanders@bsdi.com>
  2. Received: from dxmint.cern.ch by  nxoc01.cern.ch  (NeXT-1.0 (From Sendmail 5.52)/NeXT-2.0)
  3.     id AA19899; Mon, 24 May 93 20:34:16 MET DST
  4. Errors-To: sanders@bsdi.com
  5. Received: from austin.BSDI.COM by dxmint.cern.ch (5.65/DEC-Ultrix/4.3)
  6.     id AA09486; Mon, 24 May 1993 20:55:33 +0200
  7. Received: from localhost by austin.BSDI.COM (5.67/1.37)
  8.     id AA18522; Mon, 24 May 93 13:55:31 -0500
  9. Message-Id: <9305241855.AA18522@austin.BSDI.COM>
  10. To: www-talk@nxoc01.cern.ch
  11. Subject: Kerberos authentication for HTTP/1.0
  12. In-Reply-To: Peter Lister's message of Mon, 24 May 93 18:12:14 BST.
  13. Errors-To: sanders@bsdi.com
  14. Reply-To: sanders@bsdi.com
  15. Organization: Berkeley Software Design, Inc.
  16. Date: Mon, 24 May 1993 13:55:30 -0500
  17. From: Tony Sanders <sanders@bsdi.com>
  18.  
  19. > As to job control, line mode browsers start telnet happily enough, so
  20. > they can run kinit the same way.
  21. This is fine, I only said the browser should detect failure due to Payment
  22. Required (code 402) and initiate a dialog that requests the password, I
  23. didn't say you couldn't exec kinit to do the work.  I just don't want the
  24. user to have to type in the kinit request by hand each time he changes
  25. realms (even if only once, the browser and its helpers are free to deal
  26. with this however is best, including caching TGT's for different realms).
  27. If a user is already kinit'ed to the required realm the browser should
  28. not have to do anything, again it's up to the browser and its helpers
  29. to do the right thing.  You also need a way to generate the additional
  30. headers on each request using some external program (because you can't
  31. keep sending the same headers and avoid replay).
  32.  
  33. It is up to the browser writers to do this in a generic way so they can
  34. support multiple authentication schemes.  It would probably help if the
  35. server returned a header like Accept-Authentication: with a list of the
  36. authentication protocols it accepts.  Tim BL, do you want to address this
  37. in the HTTP spec?
  38.  
  39. Another way to attack the problem is just inject the raw authentication
  40. protocol in the stream at some point (hand off the socket to an
  41. external program and let it do all the work).  Tim: is this allowed?  What
  42. do you think about it?  I don't think it would break anything since it
  43. would only happen if both the client and server agreed on the
  44. Authentication: protocol.  Comments?
  45.  
  46. I hope to do some prototyping at some point in the next few weeks.
  47.  
  48. FYI: the problem I'm trying to solve is not so much local access to
  49. documents (you could simply check IP address for that and get most of what
  50. you need) but rather the purchasing of books and other services over the
  51. Internet.
  52.  
  53. --sanders