問題タブ [basic-authentication]

私はここSOでいくつかの同様の質問を見ましたが、最近はありません-それで私は何かが変更されたかどうかを確認するためにチェックインしています。

didReceiveAuthenticationChallenge：は基本認証用にbase64エンコードを完全に実行できることがわかりますが、基本認証Authorization：ヘッダーを送信する必要があるサーバーはHTTP401を返さず、（私は推測しますか？）didReceiveAuthenticationChallenge：を引き起こしません送信するメッセージを委任する-そのため、そこにクレデンシャルを作成することはできません。

代わりに、私は使用しています

[urlRequestForMyWorkspace addValue：@ "Basic" forHTTPHeaderField：@ "Authorization"];

initWithRequestを呼び出す前に：

しかし、-ユーザー名とpwからbase64でエンコードされたクレデンシャルを構築するためにiPhoneで動作するObjective-C APIが見つかりません（ http://www.cocoadev.com/index.pl?BaseSixtyFourなどを記述する以外） 。

つまり、これが唯一の方法です。または、サーバーが401を返さない場合は、http基本認証クレデンシャルを強制的に送信することができます。これはdidReceiveAuthnChallengeの原因であると想定しています。送信されますか？

ありがとう、リチャード

私のWebサイトのセクションには、認証されたユーザーのみがアクセスできます。このページがグーグルによってクロールされているのか、それとも検索エンジンに「隠されている」のか疑問に思いました。

ありがとう

Railsアプリでhttp基本認証を機能させようとしています。nginxとパッセンジャーでアプリを実行しています。authlogic gem が機能しており、認証が機能しています。私は single_access_token をうまく使いました。なんらかの理由で、http ベーシック認証を使用して認証することができません。私が理解しているように、デフォルトで有効になっているため、動作させるために何も設定する必要はありません。これを理解するためにログをどこで調べればよいかさえわかりません。

さらにテストを行ったところ、Mac では curl を使用して基本的な http 認証で認証できることがわかりましたが、Linux ボックスでは同じユーザー名/パスワードを使用して wget が機能しません。LinuxボックスからFirefoxでも試しましたが、成功しませんでした。

基本認証、カスタムサービスホスト、およびを使用するRESTfulWCFサービスがあります。カスタムUserNamePasswordValidatorを設定しましたが、カスタムIPrincipalが正しく操作に流れます。ただし、従来の相互運用性のために、別の認証モードをサポートする必要があります。それが機能する方法は次のとおりです。

1. ログインURIへのユーザーPOST
2. サービスは上記のようにユーザーを認証しますが、HTTP応答ヘッダーとしてセッショントークン（暗号化されたユーザー資格情報）を返します。
3. ユーザーからの後続のすべての要求には、基本認証の代わりにセッショントークンが含まれます。

私の現在の考えはこれです：セッショントークンに暗号化された資格情報が含まれている場合、着信メッセージを操作し、資格情報を復号化し、セッションヘッダーを基本認証ヘッダーに置き換えることができるはずです。私の問題は、次のような拡張ポイントを見つけることです。

• 何らかの方法でメッセージプロパティを公開し、
• カスタムUserNamePasswordValidatorが実行される前に実行されます。

そのような拡張性のポイント、またはトランスポートセキュリティメカニズムをカスタマイズする方法を知っている教祖はいますか？私はここにある膨大な数のオプションに正直に戸惑っています。ReflectorでSystem.ServiceModel名前空間を閲覧することは、フラストレーションのたまりでした。

ありがとう！

Apacheを使用すると、基本アクセス認証を使用してユーザーに名前/パスワードの入力を求め、何らかの方法でそれらの資格情報を使用してそのユーザーにアクセスを許可するページを設定するのは非常に簡単です。

クライアントとサーバー間の接続が安全であると仮定すると、これは安全ですか？

ユーザーが組織内からSharePointサイトにアクセスする場合は統合Windows認証を使用し、組織外から誰かが認証を試みる場合は基本認証（SSLを使用）を使用します。読んでみると、IEは何があってもWindows Authを試し、組織外からの基本認証を無視するようです。ユーザーはログインボックスにドメインを入力する必要があるため、これは望ましくありません（ユーザーはこれについてヘルプデスクに電話することで有名です）。基本認証では、デフォルトのドメインを指定できます。Windows認証はこれを行いません。したがって、外部には基本認証を使用し、内部にはWindows認証を使用する必要があります。

ネットワーク内でWindowsAuthを有効にし、ネットワーク外で基本認証を有効にするためのソリューションは何ですか？IIS内に2つの別々のサイトをセットアップする必要がありますか（1つはWindows認証用、もう1つは基本用）？これには2つの異なるホスト名が必要ですか？

ここで考えていない解決策はありますか？

皆さんありがとう。

これが私の問題です。動的データを取得するためにポーリングできるシステムを開発しています。それはGrailsにあり、特定のコントローラーアクションでリクエストを行うと、たとえば「http://localhost:8080/foo/bar」と言うと、最新のデータを含むJSONリストが返されます。

セキュリティと機能を強化するために、基本認証を有効にして、Spring Security (Grails Acegi プラグイン) を使用してページを保護しました。ログインすると、システムはユーザー プロファイルに関する情報を自動的に読み込み、返されるデータを変更します。したがって、認証は必須です。

これは機能します。任意のブラウザーからアクションをポーリングでき、データが返されます。私の Grails アプリケーションには、この URL を呼び出す JavaScript スクリプトがあります。

問題は、JavaScript スクリプトを外部化して顧客に配布し、顧客が独自の HTML ファイルを作成し、JavaScript ファイルをプラグインし、AJAX を使用して (API のようなもので) データにアクセスできるようにしたいことです。そのようです：

しかし、うまくいきません。まず第一に、クロスドメインの GET リクエストが難しいことを知っています。しかし、私の場合は基本認証を使用します。資格情報を XmlHttpRequest に直接入力する必要があり、Firefox でプリフライトされた要求を生成し (GET を OPTIONS で置き換える)、私の Grails アプリケーションはそれを処理しないため、よりトリッキーな認証を使用します。 .

私の問題は非常に具体的です。悪意のあるアクセスを防ぐために基本認証を使用していますが、クロスドメインの制限により、適切な資格情報を使用してアプリケーションにアクセスできません!

私は何をすべきか！IFrame を試してみましたが、ページのコンテンツを取得できません (「アクセスが拒否されました」というエラーが表示されます - これもドメイン間の制限です)。

また、ajax() 関数の jQuery のユーザー名とパスワードのフィールドは機能しません。

保護されていないページで単純な AJAX GET リクエストを実行し、資格情報をパラメーターとして送信すると、ページは資格情報を使用して保護されたページにリダイレクトされますか? ブラウザがリクエストを壊すことはありませんが、基本認証資格情報でリダイレクトできますか?

うまくいかない気がします（新しいリクエストを生成するリダイレクトに関係するものなど...）。私は正しいですか、それともうまくいくべきですか？

JSONP でこの問題を解決できますか? JSONP を使用して Basic 認証を統合する方法はわかりませんが、...

どうもありがとうございました！

この投稿で説明されていることを試しました。リクエストの URL を変更することはできましたが、元の URL がまだ読み込まれていました。

私がやろうとしているのは、認証文字列を URL (つまりhttp://user:pass@url ) にまだ挿入していない人のために挿入することです。

読み込んでいる URL にはフレームがあるため、[[webview request] URL]内側webViewDidStartLoad:webviewは常に親 URL、つまり<frameset>タグを含む URL です。これにより、変更されたリクエストが実際に処理されたかどうかを確認することが難しくなります。

どんな提案でも大歓迎です！

私はiPhoneアプリケーションをプログラミングしています。私の (既存の) Web アプリケーションは、Ruby on Rails (2.3.2) を使用してデータを提供します。Ruby on Rails バックエンドは restful-authentication gem を使用してユーザーを認証します。

サーバーから iPhone アプリにユーザー データを取得するために、HTTPRiot フレームワークを使用し、HTTPBasicAuthentication でユーザーを認証します。

これで、すべて正常に動作します。ユーザーは、iPhone アプリとの間でデータを取得および投稿できます。しかし、サービスからユーザーをログアウトしたい場合、それは不可能に思えます。さまざまなトピックから、ログアウトが HTTPBasicAuthentication に実装されていないことを理解しました。それで完全にOKです。ユーザーがアプリに戻ったときにアプリにログイン画面を表示させるために、Settings.app にスイッチを実装するなどの回避策を見つけようとしました。

問題は次のとおりです。iOS4 は、アプリがバックグラウンドに入るときに接続を「開いた」状態に保ちます。HTTPBasicAuthenticated 接続からログアウトするには、この接続を切断する必要があります。このアプローチを使用すると、ユーザーはアプリを終了し、Settings.app でスイッチをオンにし、アプリをマルチタスクから削除して、アプリを再起動する必要があります。これは汚すぎる。

私の質問は、アプリケーションを完全に終了せずにユーザーをログアウト/変更するためのよりクリーンな方法はありますか?

参考文献: HTTPRiot、ログアウトと基本認証、ログアウトと基本認証 2

http 基本認証でのみアクセスできる Web ページがあります。そのページのjavascriptで基本的な認証ユーザー名をどのように把握できますか。つまり、誰かが (ログイン後に) アクセスしたときに、「こんにちは、現在、ユーザー $USERNAME としてサインインしています」というポップアップを作成したいと考えています。