問題タブ [digest-authentication]

sinatrarb Web サイトの例のように、ダイジェスト認証をセットアップしました。

誰かが方法を知っているか、これを特定するガイドを教えてくれるかどうか疑問に思っていました. ありがとう。

.htaccessでフォルダを保護したいのですが。以下は動作しません。ブラウザにログインダイアログが表示されますが、ユーザー名とパスワードが一致していないように見えます。メソッドをBasicに変更すると、正常に機能しました。

私は長い間 API に http ダイジェスト認証を使用してきましたが、期待どおりに機能したようです。

ただし、エラーが発生し、再認証を 3 回求めるプロンプトが表示されます。4 つ目は、パスワードが間違っていても、送信された電子メールのユーザーを (ユーザー名として) ログに記録するだけです。

有効なパスワードが送信されるまで再認証を続けない理由について、少し混乱しています。

上記は次のように呼び出されます。

編集：ずっと前のことなので、原因が今はわかりませんが、ここに行きます：

REST API を使用するアプリケーションがあり、セキュリティ スキームにダイジェスト認証を実装しています。問題は、アプリケーションにログインするときに、リソースが消費されるたびにデフォルトのユーザー/パス ウィンドウがポップアップするのではなく、ログイン時に書き込まれたユーザー名とパスワードを使用することです。最初の 401 ステータス応答を受信したときにその情報を使用するにはどうすればよいですか?

アクセスしたい安らかなAPIがあり、アプリには独自のログインフォームがあります。残りのリソースにアクセスしようとするたびに、これらの資格情報を使用したいと思います。問題は、HTTPダイジェストを使用しているため、401 Unauthorizedヘッダーを送信するたびに、見苦しいブラウザ固有のログインフォームが表示されることです。これをオーバーライドするにはどうすればよいですか？デフォルトのフォームを使用せずに、ユーザー名とパスワードをダイジェスト認証に渡すにはどうすればよいですか？私の質問が十分に具体的かどうかわからない...

これはおそらくばかげた質問ですが、基本的な HTTP 認証だけで安全に回避できますか、それともサーバーが既に SSL を使用している場合でもダイジェスト認証の恩恵を受けられますか?

Trying to do a get() with Digest to a partner's web service with Delphi XE.

I have included IdAuthenticationDigest to the uses clause which should automatically work from what I've read - but I must be missing something because I'm getting a 401 Unauthorized.

Code:

cURL を使用して DIGEST AUTH を作成していますが、完全に機能しています。問題は、user:pass を再送信することなく、他のすべてのページで、ログイン ページで作成されたダイジェスト クレデンシャルを保持するブラウザが必要なことです。

例：

私はlogin.phpにいて、ユーザーとパスワードを書き、cURLリクエストを作成して認証し、サーバーはOKで応答するので、認証が必要なindex.phpにリダイレクトしますが、ユーザー名とパスワードを要求します繰り返しますが、login.php から保持しませんでした。これを修正するにはどうすればよいですか?

login.php と index.php の 2 つのページがあります。

localhost/mysite/login.php を書き込み、フォームにユーザー名とパスワードを書き込むと、CURLOPT_HTTPAUTH = CURLAUTH_DIGEST および CURLOPT_USERPWD = 'user:pass' を使用した cURL 要求が別のファイルに渡され、HTTP を使用してそれらの資格情報でユーザーを認証します。 DIGEST AUTH であり、成功した場合は 200 を返し、資格情報が間違っている場合は 401 を返します。

200 コードを取得すると、login.php は index.php にリダイレクトし、同じダイジェスト ファイルに対しても cURL 要求を行いますが、CURLOPT_HTTPAUTH または CURLOPT_USERPWD は使用しません。login.php で既にこれを行っているため、これらのダイジェスト資格情報はユーザーのブラウザーに保存する必要がありますが、そうではありません。そのため、index.php は再び資格情報を要求することになります。これが問題です。

CURLOPT_COOKIEFILE と CURLOPT_COOKIEJAR の使用を勧める人もいますが、それがどのように機能するのか誰も説明してくれません。CURLOPT_COOKIEFILE は Cookie 情報を取得するためのものであり、CURLOPT_COOKIEJAR はそれらを保存するためのものであることを理解しています。

したがって、質問は次のとおりです。

1) その Cookie ファイルのルート (例: '/tmp/cookies.txt')、それはどこですか? /tmp/cookies.txt とは正確には何ですか? login.php と同じレベルですか? またはC：/？また、事前にこのファイルを作成する必要がありますか? それとも自動的に作成されますか？

2) そのファイルはサーバー上にありますか、それともクライアントにありますか? サーバー上にある場合、どの Cookie がどのユーザーからのものかを知るにはどうすればよいですか。そうすれば、Y ユーザーが X ユーザー資格情報を使用してログインすることはありません。

3) また、これらの Cookie オプションを使用する場合、正確には何を保存していますか? 認証ページで、そのファイルに保存される Cookie を手動で作成する必要がありますか? もしそうなら、どのクッキーですか？Digest Auth Credentials を保持する必要があります。これは、nonce、cnonce、nc、username、response などを含むヘッダーであると思います...これが実際に回避方法であるかどうかはわかりません。

前もって感謝します

私は現在、WCF Web サービスからモバイル デバイスの www-authenticate ヘッダー情報を取得しようとして立ち往生しています。これは、phonegap プラットフォーム上に構築された Android モバイル アプリです (そのため、JavaScript を多用しています)。

いくつかの異なるブラウザーでアプリをテストしてみました。ie7 と safari を使用すると、問題なく情報を取得できます。ただし、Firefox、Chrome、および残念ながら Android デバイスでは、情報を取得できません。Chrome と Firefox は、クロスサイトの ajax 呼び出しについて不平を言っています…そして、関数が呼び出されると電話がフリーズします。

モバイル -> Web サービスはクロスサイトとは見なされないため、クロスサイト ajax の問題とは関係がないと確信しています... www.google.com などの通常の Web サイトからヘッダー情報を正常に取得できます。私を正しい方向に向けるためのヒントはありますか？

以下は私のコードです：