問題タブ [http-authentication]

2 つの異なるユーザー資格情報を使用してサーバーと通信する必要がある .NET クライアント アプリケーションがあります。アプリケーションが 2 つのスレッドを実行するとします。実行を開始すると、すべてのスレッドがユーザーとパスワードを送信して認証し、サーバーはその代わりに http セッションに Cookie を保存します。後続の呼び出しでは、ユーザー資格情報ではなく、認証 Cookie が送信されます。

同じプロセスに対して 2 つの Cookie があります。wininet は、各スレッドに適切な Cookie を送信することをどのように「認識」しますか?

wininet はスレッドごとに Cookie コレクションを管理しますか? httpセッションごと？プロセスごと？

ありがとう

Adobe AIR アプリケーション内から基本認証ヘッダーを必要とする HTTP リソースをリクエストしようとしています。setRemoteCredentials() メソッドを使用してヘッダーをリクエストに手動で追加しようとしましたが、役に立ちませんでした。

コードは次のとおりです。

ただし、標準の基本認証ダイアログ ボックスが引き続き表示され、ユーザー名とパスワードの入力を求めるプロンプトが表示されます。私はこれを正しい方法で行っていないと感じていますが、見つけることができるすべての情報 (Flex ドキュメント、ブログ、Google など) は機能していないか、あまりにも漠然としていて役に立ちませんでした。

黒魔術はありますか？ありがとう。

編集: setRemoteCredentials() を setCredentials() に変更すると、次の ActionScript エラーが発生します。

編集:アドビからの注意の後、問題は解決しました。完全な説明については、以下の投稿を参照してください。このコードは、任意の長さの HTTP 認証ヘッダーに対して機能します。

URLRequest を使用してファイルをサーバーにアップロードする Flex ファイル アップロード スクリプトがあります。http 認証 (サーバー上のパスワードで保護されたディレクトリ) のサポートを追加したいのですが、これを実装する方法がわかりません。クラスを何らかの方法で拡張する必要があると思いますが、その方法について少し迷っています。

以下を変更しようとしました (HTTPService を URLRequest に置き換えます) が、うまくいきませんでした。

私は ActionScript / Flex に関しては知識がないことを指摘しておく必要がありますが、アップロード スクリプトをある程度修正することに成功しました。

[編集] - 以下の回答に基づいた進行状況の更新を次に示しますが、まだこれを機能させることはできません。

ご協力いただきありがとうございます。あなたのコードを実装しようとしましたが、うまくいきませんでした。

HTTP認証された場所を扱うときに私が経験している一般的な動作は、IE7ではすべて問題ありませんが、FirefoxではファイルをサーバーにアップロードしようとするとHTTP認証プロンプトが表示されます.正しい詳細が与えられたとしても、単に停止しますアップロードプロセス。

IE7 が問題ない理由は、ブラウザーと Flash コンポーネントによって共有されるセッション/認証情報にあると思いますが、Firefox ではそうではなく、上記の動作が発生します。

あなたの変更を組み込んだ私の更新されたアップロード機能は次のとおりです。

上記のように、私は自分の機能の修正の有無にかかわらず、同じ結果を経験しているようです.

crossdomain.xml をどこに置くべきか尋ねてもよろしいですか。現在、crossdomain.xml を持っておらず、どこに置くべきかわからないためです。

認証後にHTTPリダイレクトを介してのみ到達可能なページのデータを取得するのに役立つelispのライブラリはありますか? URL lib を見始めたところです。

パブリック Web サーバーでホストする Web サービスがあり、病院の壁内の Web サーバーでホストされている Web サービスからアクセスされます。ソフトウェアの両方の部分を作成したので、実装されているものを完全に制御できます。

2 つの Web サーバー間の通信を保護したいと考えています。現在、パブリック Web サーバー上の https と、クライアントを識別するための GUID のみが用意されています。

サポートできるネットワーク レベルの認証タイプがありますが、すべての顧客 (病院) が同じことを実行できるわけではないため、これらに依存するのは好きではありません。静的IPを提供できない人もいれば、VPNを実行できない人もいるため、これらの方法だけに頼ることはできません.

Web サービスへの通信を承認するために、どのような手法を使用しているか、または推奨していますか? 私たちの主な関心事は、人々が病院 ID (現在は単なる GUID) を取得したり、病院向けの Web サービスからデータを取得したりできないようにすることです。

システムへのパブリック アクセスを制限するために、他のネットワーク レベルのセキュリティ対策を採用しますが、ソフトウェア ソリューションも必要だと感じています。

システムはまだ本番稼働していませんが、開発は完了に近づいています。.net 3.5のC＃で開発されました

FWIW 以前の雇用主がそれらの線に沿って何かを使用していたことを知っているので、ある種のトークンベースの承認を考えていました。ただし、何を探すべきか、またはトピックに関するその他の情報を具体的に知りません。

編集: WCF を使用したいのですが、現在、チームの誰も (私を含めて) 使用経験がなく、Web サービスとそれらと対話するコードを既に開発しています。.net 2.0 メソッドを使用して追加されたすべての Web 参照 (vs.net08 から、.net 3.5 を対象とする) を完全にやり直すことは避けたいと考えています。WCF がオプションではないとは言いませんが、そのオプションを喜んで採用するとは思いません。

パフォーマンス、セキュリティ、柔軟性の観点から、HTTPダイジェスト認証とSSLの違いは何ですか？

認証を保護するための既存の HTTP プロトコルを探していますが、それに続くペイロードは探していません。サーバーにユーザー名、ハッシュされたパスワード、およびユーザーごとに異なるソルトを保存してもらいたいです。

すべてのアカウントが同じソルトを使用するため、HTTP ダイジェスト認証はこれらの要件を満たしていません。SSL は接続全体を暗号化するため失敗します。

追加するために編集:

これは、Web サービスと通信するデスクトップ クライアント用です (ブラウザは関係ありません)。

Google 検索アプライアンスと ASP 間の認証に関係する障害に遭遇しました。通常、検索アプライアンスから保護されたページを要求する場合、検索アプライアンスは資格情報を要求し、これらの資格情報を使用して保護された結果へのアクセスを試みます。この試行が成功すると、ページが結果リストに表示されます。ASP はクライアントに代わって検索アプライアンスに接続するため、資格情報を収集して検索アプライアンスに渡す必要があります。これを達成するために文書化されたいくつかの異なる方法を試しましたが、うまくいかないようです。以下は私が試したコードです：

J2EEサーバー（JBoss）で実行されているアプリケーションでIISに認証を実行させることを検討しています。IISをリバースプロキシとして機能させ、プロキシされたアプリケーション（JBoss）のユーザー名やロールを伝達する方法はありますか？また、可能であれば、どのIISバージョンが必要ですか？IISのライセンスを持っているので、IISでライセンスを取得したいのですが、それ以外の場合はオープンソースを使用したいと思います。

ありがとう！

トーマス