Quantcast
Channel: 黑暗執行緒
Viewing all articles
Browse latest Browse all 2311

Windows驗證時成群出現的HTTP 401

$
0
0

前面我們介紹了Kerberos/NTLM驗證,也實地觀察過HTTP 401、401、200的歷程。登入網站只輸入一次密碼,想當然爾同一個身分驗證可用來存取後續的css、js、jpg、gif… 若是每次讀檔都401、401、200重新走一次,未免太沒效率。

隨便開個Windows驗證的網頁,Fiddler側錄結果卻又讓人迷惑。如下圖範例,網頁default.aspx引用一堆js、css,就觸發了成串HTTP 401,這回是401後接200,兩個Request/Response往返就完成。但也有例外,像是第5個/AfaClient/css/jquery.tab.css就沒出現401,一次200搞定,這到底是怎麼一回事?

用個實驗來說明:

<html>
<head>
<title>HTTP 401 Test</title>
</head>
<body>
<button>Test</button>
<scriptsrc="http://code.jquery.com/jquery-2.2.3.min.js">
</script>
<script>
    $("button").click(function() {
        $.get("/magicwand.gif?t=" + Math.random());
    });
</script>
</body>
</html>

test1.html是個簡單網頁,按鈕後用jQuery.get()取回magicwand.gif圖檔(URL加上亂數避免快取)。test1.html、magicwand.gif二者都需Windows驗證。以下是載入網頁後按鈕三次的Fiddler側錄結果:

除了/Test1.html載入時歷經401、401、200,之後讀取magicwand.gif都是一次200到位不囉嗦,關鍵在這裡:

Test1.html回傳Response Header中有個Persistent-Auth: true,宣告這條連線可以沿用身分認證,而Request Header約定連線採Keep-Alive模式,讀完資料後保留TCP連線供後續使用(節省重建連線成本,提高效率)。於是再送出的GET magicwand.gif就不需要驗證,快速通關。如下圖所示,Request沒有包含Authorization Header,就能直接得到HTTP 200。

由以上可知,連線再驗證後就不需要401、200的過程,可以直接200取回內容。

再看另一個實驗:

<html>
<head>
<title>HTTP 401 Test</title>
</head>
<body>
<button>Test</button>
<scriptsrc="http://code.jquery.com/jquery-2.2.3.min.js">
</script>
<script>
    $("button").click(function() {
for (var i = 0; i < 32; i++) {
            $.get("/magicwand.gif?n=" + i + 
"&t=" + Math.random());
        }
    });
</script>
</body>
</html>

這回我們狠一點,一口氣同步送出32個$.get(),結果就不太一樣了:

初期出現一大堆401,但後期就清一色都是200。仔細數數,扣除Test2.html的兩個401,還出現11次401。為什麼?記得剛才有提到「Response出現Persistent-Auth: true 代表這條Keep-Alive連線可沿用身分認證」,而當我們同時發出多個HTTP請求時,瀏覽器不會呆呆的只用一條連線抓完這個再抓下一個,而會建立多條連線同時下載。這個觀念之前在IE MaxConnectionsPerServer參數效果實測一文曾研究過,當時測試的對象是IE8,預設最大同時連線數是6條,我沒找到記載 IE11@Windows 10最大同時連線數預設值的文件,但由觀測結果來看是12條。回頭數數第一張圖中的401數目,扣除default.apsx有兩個401,總數也是12個。所以,每次新建連線後要走一次401、200過程,之後靠Persistent-Auth沿用驗證,就不要需要401。

另外補充,IIS是否允許Perisistent-Auth是可以設定的,詳情可參考MSDN文件,而NTLM與Kerberos的設定是分開的,NTLM預設就有,Kerberos需要額外開啟

結論:使用Windows驗證時,Perisitent-Auth功能允許一條連線只需驗證一次,後續不必每次先401再200,以提升效能。當瀏覽器同時發出多個HTTP Request時,背後會新建多條HTTP連線,每條新建連線必須先走一次401再200的驗證步驟,後續則可免除401的過程。IIS預設NTLM已開啟Persistent-Auth,Kerberos則需額外設定。


Viewing all articles
Browse latest Browse all 2311

Trending Articles