HTTP authentication+HTML Forms

[pokk]

Добрый день, решил прикрутить к сайту аутентификацию, но пока не могу понять как правильно все сделать.
Остановился на варианте HTTP Authentication + HTML Forms
На сервере есть 2 страницы, одна для авторизации, другая основная.

1) от запрос клиента, сервере смотрит если в заголовке поле Authorization
если его нету выдаем страницу с формой авторизации
2) После того как пользователь вбил данные, логин пароль в форму с помощью JS вытаскиваем их
и передаем на сервер, в случае что пароль правильный выдаем клиенту, что типа надо использовать
HTTP Authentication, только как ? и как потом перезагрузить на основную страницу?

[ksa]

Сообщение от pokk

и как потом перезагрузить на основную страницу?

top.location='нужный_УРЛ';

[Nexus]

Сообщение от pokk

если его нету выдаем страницу с формой авторизации

Если пользователю нужно показать страницу формой, то зачем использовать http авторизацию?
К тому же, я думаю, у вас не получится показать пользователю html-форму, т.к. браузер предложит пользователю авторизоваться в модальном окне.

[pokk]

"то зачем использовать http авторизацию?" А какую тогда ?
сервер не поддерживает PHP, соответственно только html+ js по этому выбрал самую простую.

"браузер предложит пользователю авторизоваться в модальном окне."
Так изначально, я не буду выдавать заголовок www-authenticate
выдам его при правильном воде логина пароля, со статусом 200
и надеюсь дальше от клиента пойдет, в заголовке Authorization, но чувствую наврали.

В принципе можно и просто использовать HTTP Authentication только как форму по красивее нарисовать ?

частично вычитал от суда, но ещё не до конца разобрался.
http://www.peej.co.uk/articles/http-...tml-forms.html
http://www.javaxt.com/Tutorials/Java...Authentication

[pokk]

В общем идея чуть чуть устаканилась и превратилась в следующее.

1) Если нету заголовка аунтификации в заголовке от сервера выдаем страницу на вод с паролем
2) после ввода пароля сервер присваивает, случайное число(это же токеном называют?)
и выдает его в ответ на корректный ввод, далее мы запоминаем его в JS.
(может быть сохраняем в куках, как еше можно сохранить ?)
()
3) при любых других запросах JS добавляем поле аунтификации в заголовок, и случайный код выданный сервером.
4) сервер сверяет, правильный код ок, не правильный выдать страницу на ввод пароля.

Вопросы:
1) пункт 3, после выдачи страницы сервером дальнейшая работа с ним идет посредством, JS, т.е почти все запросы создаю вручную, по этому не сильно сложно в шапку добавить ещё поле аунтификации, но как быть
если пользователь перезагрузит страницу? Как добавить поле авторизации при обновлении страницы?
2) Если сохранить случайный код в куки, то при закрытии открытии страницы, опять таки как добавить поля в заголовок, перед открытием страницы?