問題タブ [digest-authentication]

基本的に私がする必要があるのはダイジェスト認証を実行することです。私が最初に試したのは、ここで入手できる公式の例です。しかし、それを実行しようとすると（いくつかの小さな変更を加えて、Getメソッドの代わりにPost）、

これが失敗したとき、私は使用しようとしました：

最初は、「レルム」と「ノンス」のDigestSchemeパラメーターのみをオーバーライドしました。しかし、サーバーで実行されているPHPスクリプトには他のすべてのパラメーターが必要であることが判明しましたが、それらを指定するかどうかに関係なく、authenticateSchemeはauthenticate（）メソッドを呼び出したときにAuthorizationRequestPrepertyでそれらを生成しません。また、PHPスクリプトはHTTP応答コード200を返し、PHPスクリプトにはcnonce、nc、およびqopパラメーターが必要であるというメッセージが表示されます。

私はこれに2日間苦労してきましたが、運がありません。すべてに基づいて、問題の原因はPHPスクリプトにあると思います。アプリが不正にアクセスしようとしても、チャレンジは送信されないように見えます。

誰かアイデアはありますか？

編集：もう1つ、cURLで接続してみましたが、機能します。

私は既存の Cake インストールで REST 実装に取り​​組んできましたが、すべての要求に HTTP ダイジェスト認証を使用したいことを除けば (基本認証ではうまくいきません)、見栄えがします。クライアント アプリ (cake ではない) でヘッダーを生成し、cake のインストールに送信します。唯一の問題は、リクエストからそのダイジェストを抽出する方法が見つからないことです...

ダイジェスト ヘッダーを取得するために使用できるものを Cake API で調べました。Request Handler がそれをつかむことができると思うかもしれませんが、それに似たものは見つかりません。

私が見落としているダイジェストを取得する別の方法があるに違いありませんか?

それまでの間、リクエストから解析するために独自の正規表現を書いています...完了したら、ここに投稿するので、私が探したほど多くの時間を無駄にする必要はありません。

簡単に言うと、JBoss 4.2.2 を構成して、Digest Authentication によって保護された Web アプリケーションのログイン モジュールとして DatabaseServerLoginModule を使用するようにしたいと考えています。私が抱えている問題は、パスワードの検証に失敗することです。問題は、アプリケーション ポリシーの定義方法またはデータベースへのパスワードの保存方法にあると思われます。

以下は、すべての関連ファイルです。次のスキーマを使用して定義されたユーザーとロールを持つ MySQL データベースがあります。

login-config.xml ファイルのアプリケーション ポリシーについては、次のように定義しています。

これが私の Web アプリケーションの web.xml ファイルです。

最後に、jboss-web.xml は次のとおりです。

また、データベースに次のコンテンツを入力することも追加する必要があります。

上記のように、3 人のユーザー (user1、user2、user3 など) はすべて同じパスワードを持っています。ただし、いずれの場合も、パスワードは MD5 ハッシュを使用してエンコードされます (またはエンコードされません)。ただし、上記のどれも機能しません。これが私が考える問題の核心です。

iveは私のxmppサーバーとしてejabberdを取得しました、そしてここに私のphpコードがあります：

私の問題は、サーバーが「1」を返すことです。それはそれです、受け入れなし、エラーなし、ただ数1。これの前のステップはすべて期待されたものを返しました、しかしこの部分は問題を抱えています。phpを初めて使用する場合（これは、phpを使用して作成された2番目のページのみになります）、SASLの手順を正しく実行したのか、それともejabberdに問題があるのか​​疑問に思っていますか？

ウィキペディアから、私は読んだ：

Joux[3] は、2 衝突は n 衝突につながると指摘しました。同じ MD5 ハッシュを持つ 2 つのメッセージを見つけることが可能であれば、攻撃者が同一の MD5 ハッシュで望むだけの数のメッセージを見つけることは事実上難しくありません。

しかし、なぜそうなのですか？想像できない どうして？アルゴリズムはオープンで、ダイジェスト機構であるハッシュを生成する数学を読むことができます。では、1 つの衝突がわかっている場合、なぜ新しい衝突を見つけるのに役立つのでしょうか?

最初の衝突メッセージの両方に小さな反復を加えてから、それらの変更を監視して再マッピングするだけですか?

ダイジェスト認証について言及しているスタックオーバーフローに関する多くの質問を見つけました。ダイジェスト認証がリプレイ攻撃をどのように防止するかについて、私は見つけられませんでしたか? フィドラー ツールを使用して、サーバーへの http 要求をインターセプトします。サーバーへのリクエストをリプレイするために同じツールを使用しましたが、サーバーは認証を要求しました。

リプレイ攻撃の防止がどのように達成されるかを正確に理解する必要があります。サーバーはどのようにして http リクエストのリプレイを検出できますか?

リンク/リソースをいただければ幸いです。

ユーザーが RESTful API 呼び出しを介してリソースにアクセスできるようにするには、基本認証、ダイジェスト認証、および Oauth のどれを Web アプリケーションに使用する必要がありますか?

基本認証とダイジェスト認証を置き換えるより良いソリューションは Oauth ではないでしょうか?

clojureを使用してRESTAPIを使用したいのですが、ダイジェスト認証を使用する必要があります。私はグーグルしてきましたが、どのクライアントライブラリでも直接サポートを見つけることができず、Java側（および一般的なダイジェスト認証の実装）のドキュメントは貧弱です。

基本的に、clojureからのhttpリクエストでダイジェスト認証を機能させるための最も簡単なルートに関する推奨事項を入手したいと思います。

最近、ASP.NETで会社用に作成しているイントラネットWebサイト/アプリケーションでダイジェスト認証を有効にしました。

私がそうした理由は、Windows認証が一部のユーザーに対してのみ機能し、他のユーザーに対しては機能しないように思われたためです。理由がわからず、IISについて十分に理解していないため、問題を追跡できませんでした。試行錯誤の末、ダイジェスト認証によって私が望む動作が得られるように思われることがわかりました。つまり、ドメインに有効なアカウントを持つユーザーのみが、自分の資格情報を使用してWebサイトにログインできるようにします。

現在の問題は、Firefox（3+）が、サーバーに送信されるすべてのHTTP要求でユーザーに認証を要求しているように見えることです。これは、Internet Explorer（6以降）またはChromeでは発生しないようです。

私は解決策を探してみましたが、いつも行き止まりになっています。私はこの問題についての議論を見つけます、そして投稿されたすべての解決策はデッドリンクにつながります...またはそれはExperts Exchangeにあり、私は解決策を表示するためのアクセス権を持っていません。

この問題は、（私が読んだことから）さまざまなブラウザーが認証ヘッダーを送信する方法とIISがそれらを解釈する方法に関連しているようです。これを変更するために何ができるかわかりませんが？私が見つけた解決策の1つは、これを修正するためのISAPIフィルターの作成について言及していましたが、もちろん、完成したフィルターへのリンクが壊れており、自分でフィルターを作成する方法がわかりません。

about：configでNTLMやその他の認証関連の文字列をいじって、Firefoxにサーバーを信頼させようとしましたが、それも機能しないようです。

私が読んだ他のいくつかの情報源から、Windows認証に戻すとすべてが機能するはずですが、認証が一部のユーザーに対してのみ機能し、他のユーザーに対しては機能しないという正方形の1つに戻りました。

どちらの問題の解決策も私には有効ですが、Windows認証の問題に関する情報はほとんどありません。誰かが問題を追跡するために私を案内してくれるなら、私も喜んでそれについてのより多くの情報を投稿したいと思います。

同じ問題のように思われることを議論している私が見つけたURLはここにあります。（申し訳ありませんが、すべてのリンクを作成できませんでした。それ以外の場合は投稿できませんでした）

• support.mozilla.com/tiki-view_forum_thread.php?locale=pt-BR&forumId=1&comments_parentId=346851
• www.experts-exchange.com/Software/Internet_Email/Web_Browsers/Mozilla/Q_24427378.html
• channel9.msdn.com/forums/TechOff/168006-Twin-bugs-in-IIS-IE-unfair-competitive-advantage-EDIT-SOLVED /
• www.derkeiler.com/Newsgroups/microsoft.public.inetserver.iis.security/2006-03/msg00141.html

ダイジェスト認証を使用して、関連する https Web サイトに自動的にログインするためのシングル サインオン機能を実装しています。現在、私のコードは

問題は私が得ることです

これは理にかなっていると思いますが、私には役に立ちません。ここにログインする (そして最終的に sessionId を取得する) ためのリクエスト/レスポンスを作成するにはどうすればよいですか?

前もって感謝します。