問題タブ [digest-authentication]

RESTfulサービスを保護するためのユースケースがありますが、それを実装できるかどうかは正確にはわかりません。基本的に、基本認証とダイジェスト認証の両方を設定したいと思います。チェーン内の両方のフィルターの設定は比較的簡単なはずですが、エントリポイントの処理方法がわかりません。私が知る限り、2種類の認証には2つのエントリポイントがありますが、その方法はわかりません。潜在的に機能するのは、AuthorizationヘッダーにBasicまたはDigest認証ロジックが付属している場合に正しいエントリポイントを呼び出すことです。

Spring 3.1では複数の要素を使用できることは承知していますが、これら2つの認証オプションは同じマッピングでサポートされる必要があり、マッピングが2つの方法であると思われるため、この場合は役に立たないと思います。要素を区別することができます。

Spring Security 3.x ： BASIC認証とDIGEST認証の両方を有効にするにはどうすればよいですか？ しかし、それは複数のエントリポイントの問題に対処していないようです。

私が見落としている、または完全に理解していない何かがありますか？どんな助けでも大歓迎です。ありがとう。ユーゲン。

簡単な認証:

LDAP ブラウザーを使用している場合、CN=username,OU=users,DC=my,DC=company,DC=com を指定することで、平文のパスワードを使用して会社の LDAP サーバーにログインできます。この文字列をコピーして Tomcat の server.xml connectionName タグに貼り付け、単純な認証 (wireshark を使用するとプレーン テキストのパスワードが表示される) を使用すると、すべてが機能します。

暗号化されたパスワード:

server.xml JNDIレルムに次を追加しました

現在、Tomcat は LDAP にバインドできません。

LDAP ブラウザーでは、資格情報をドメイン/ユーザーの形式で提供する必要があり、DIGEST-MD5 を使用して LDAP にバインドできます。

Tomcat がバインドを正常に実行できるように、server.xml ファイルで connectionName を指定する特別な方法はありますか?

認証のためにサーバーにチャレンジを提供する方法について混乱しています。これは RESTFul アーキテクチャです。私のサーバーから、私はこれを返しています:

クライアントで、ユーザー名とパスワードを含むチャレンジをサーバーに提供するにはどうすればよいですか? サーバーから取得した値を使用して実行する必要がある手順を教えてください。

ダイジェスト認証で Selenium を使用する良い方法を探しています (フレックス UI の場合、認証ができなくても違いはないと思います)。AutoIT を使用してブラウザーのポップアップを表示するなど、プラットフォームに依存することは避けたいと思います (クロスプラットフォーム テストは Selenium に移行する動機となるため)。大丈夫。

別の http クライアントを使用してセッションを作成し、セッションの資格情報をブラウザーに渡す方法があるのではないかと考えていますが、ブラウザーの要求にセッション ID を挿入する方法がわかりません。それは私が持っていた単なるアイデアであり、それがどれほど実現可能かはわかりません。

Java（およびscala）を使用して、少し単純なクライアントサーバーアプリケーションを開発およびテストしています。

このサーバーcom.sun.net.httpserver.HttpServerは、POST および PUT 操作を使用した基本的な RESTful インターフェースを介したファイルのアップロードに基づいており、これを可能にします。アップロード操作は、独自に実装したダイジェスト認証を使用して制限されており、ブラウザー、curl Apache HttpClient、.

アップロード クライアントは、HTTP 経由で PUT 操作をラップApache HttpClient 4.1.2して実行し、ファイル エンティティをアップロードします。ファイルの content-type はapplication/xmlヘッダーのように指定され、一度に 1 つのファイルのみがアップロードされます。

異なるサイズのファイルをアップロードすると、奇妙な動作が観察される場合があります。

• サイズが 1.076.006 バイト以下のファイルは 正常にアップロードされます。
• サイズが1.122.158 バイト以上のファイルは 、java.net.SocketException: Broken pipe.

（最大作業サイズを概算するために手動で異なるサイズのファイルを作成したため、正確な重要なサイズは不明です）

壊れたパイプの理由は、サーバー ログに記録されているように、クライアントがそのサイズの-responseアップロード ファイルを何らかの形で無視したためです。www-authenticate「無視」とは、認証ヘッダーをまったく含まない複数 (4) のメッセージを送信することを意味します。しかし、より小さいファイルwww-authenticateはうまく機能し、クライアントは、本来あるべき応答の直後に、適切なチャレンジ応答を含む認証要求を送信します。

アップロードはすべてのサイズのファイルで curl で機能するため、問題はありません。

したがって、この時点で、「クライアントにバグがあります」と言うことができます。わかりました、そう願っていますが、オープンソースの Java RESTclient (Apache httpclient もラップ)も試してみましたが、まったく同じ動作をしています!

インターネット経由でこのクライアントを使用して試してみましたが、説明と同じです。だから今、私はApache HttpClientこの誤った動作につながる重要なものを設定し忘れていて、オープンソースの RESTclient の開発者もそれを見逃していたことを願っています...それが何であるかについてのアイデアは素晴らしいでしょう!

ダイジェスト認証を統合していますが、以下のドキュメントに「entity-body」が表示されています（auth-int認証用）？これはHTMLヘッダーと本文ですか？それとも、HTMLヘッダー部分だけですか？

http://freeradius.org/rfc/rfc4590.html http://tools.ietf.org/html/rfc2069

少し実験した後、レジンがDigestCredentialsの代わりにHttpDigestCredentialsオブジェクトを受け取るAbstractAuthenticator実装の「認証」メソッドを呼び出していることがわかりました（それぞれがいつ呼び出されるかはまだわかりません）問題は、HttpDigestCredentialsが呼び出されないことですgetDigest（）メソッドがありますが、代わりに、ハッシュを返さない、または少なくとも同等のメソッドを返さないgetResponse（）メソッドがあります。

[[user：realmassword] [nonce] [method：uri]]の独自のハッシュを作成した後、ハッシュは大きく異なります。実際、getResponse（）はダイジェストを返さないが、サーバーがブラウザーに応答する可能性があると思います。

とにかくこれは私のデバッグログです：

両方の想定されるクライアントナンスがサーバーで生成されたナンスとは非常に異なることがわかるように、実際、クライアントナンスはMD5ハッシュのようには見えません。

誰かが前にこれをしてくれませんか？HttpDigestCredentialsに不足しているものはありますか？私はダイジェストがほとんど使用されていないことを知っています。

SSLについては知っていますが、SSL証明書をまだ持っていないので、「SSLを使ってみませんか」と言わないでください。;）

アップデート：

正しいことかどうかはわかりませんが、Resinがハッシュにbase64形式を使用する前に読んだように、apache commons-codec-1.6を使用してencodeBase64String（）メソッドを使用しましたが、ハッシュは同じように見えますが、同じではありません。

私は両方を試しましたpasswordDigest.getPasswordDigest(a1+':'+nonce+':'+a2); passwordDigest.getPasswordDigest(a1+':'+nonce+':'+ncount+':'+cnonce+':'+qop+':'+a2);

そしてそれらのどれもHttpDigestCredentialsからのものと同じハッシュを与えません。

Zombie.jsを使用して、DigestAuthを使用するサイトに接続したいと思います。

ランタイムからhttpリクエストヘッダーにアクセスできますか？

または、ダイジェスト認証サポートを追加するためにゾンビにパッチを適用する必要がありますか？

HTTP ダイジェスト認証では、保存されるハッシュ化されたパスワードは「MD5(ユーザー名 + レルム + パスワード)」のようにする必要があると思います。

GlassFish の JDBCRealm はパスワードを別に保存する必要があります。したがって、クリアテキストでなければなりません。

それが正しいか？または、保存されたハッシュ化されたパスワードを使用する方法はありますか?

Rails of this（PHP）に相当するものは何ですか？

私はこれまで得ました：

しかし、サイトソルトを方程式に組み込む方法がわかりません。私が見たすべてのオンラインの例では、ソルトをhexdigestメソッドに渡しません。試してみると、引数が多すぎるとエラーが発生します。

そして、コロン付きのこの表記（私はどこかで見ました）：

同じハッシュを生成しません。

ありがとう

編集 私は私が必要としているものに近いこれに遭遇しました（申し訳ありませんが、私はハッシュ全体に非常に慣れていません）：

ただし、データベースに保存されているハッシュとは異なるハッシュを生成します。