問題タブ [http-digest]

SpringでWebアプリケーションを開発しています。基本認証とダイジェスト認証の基礎について読みました。ただし、Javaでそれを実装するにはどうすればよいですか?コード例はありますか、それとも私を形成するフレームワークはありますか?

ガイド内で提案されているように、HTTPダイジェスト認証を簡単に起動して実行しようとして、少し行き詰まりました。

Ruby on Rails ガイド: アクション コントローラーの概要 > HTTP ダイジェスト認証

ユーザー名とパスワードの入力を求められますが、上記を入力すると認証に失敗したようで、再度プロンプトが表示されます。そこで、ここでリクエストを検証するコードを掘り下げ始めました。

GitHub: http_authentication.rb > validate_digest_response

パスワードをプレーンテキストとして処理する方法がわかりません。password_is_ha1はどのように設定されていますか? 私も少し混乱しています。ブロックは機能していますが、役に立たない可能性があります:-/

簡単なメモ: パスワードを平文で保存したり、このようなソース コードで保存したりするべきではないことはわかっています。私は理解を深めようとしているだけで、後でこれをリファクタリングします。

事前にご協力いただきありがとうございます:-D

Java EE で Web サービスをプログラミングしていて、接続を保護する必要があります。この目的のために、HTTPS を使用します。ただし、Web サービスを呼び出すユーザーを認証する必要があります。

Web サービスを使用するハードウェアは、HTTP+Digest を介して自身を認証する必要があるため、Web サービスは HTTP(S) を経由します。

HTTP+Digest 経由で SOAP リクエストを認証することは可能ですか? おそらく、独自のハンドラー チェーンを作成し、着信要求で認証メソッドを呼び出すことができますか?

Web サービス セキュリティ スタックを実装したくありません。

Zombie.jsを使用して、DigestAuthを使用するサイトに接続したいと思います。

ランタイムからhttpリクエストヘッダーにアクセスできますか？

または、ダイジェスト認証サポートを追加するためにゾンビにパッチを適用する必要がありますか？

モジュラー Sinatra アプリの特定のルートに HTTP ダイジェスト認証を使用したいと考えています。

sinatra レシピ Web サイト内にリストされている例は、アプリ全体のダイジェスト認証を有効にする方法を簡単に説明しています。これを特定のルートで機能させるために提示されたソリューションは、2 つの個別のアプリ (1 つはダイジェスト認証を使用し、もう 1 つは使用しない) を作成し、保護されたルートと保護されていないルートをそれぞれのアプリケーションに配置することです。

それには、次のようなものが必要です。

これは私にはやり過ぎのように思えます。

完全に新しいアプリを作成することなく、モジュラー シナトラ アプリで単一のルートを保護する方法はありますか?

Rack::Auth::Basic::Request のインスタンスを作成して環境に渡すことを参照するFAQの例がありますが、ダイジェスト認証でこのようなことを行うことは大きく異なり、手動の認証手順がはるかに多くなります。

基本認証の例を次に示します。

これをどのように行うことができるかについて考えている人はいますか？

Symfony で http ダイジェスト認証を使用するには、'key' プロパティを指定する必要があります。

キーのドキュメントが見つかりません。

この鍵は何ですか？これはどのように使われますか？値を選択する際に考慮すべきことはありますか?

認証を使用するために FOSUserBundle を使用して Symfony2 アプリケーションを構成していますhttp_digest。これは Symfony 2.1.0-BETA2 です。

security.yml では、必要なプロパティhttp_basicを切り替えてhttp_digest追加するだけです。key他のすべては同じままです。

動作する関連構成:

機能しない関連構成:

ご覧のとおり、唯一の違いは の切り替えhttp_basicですhttp_digest。keyプロパティの値を変更しても、違いはないように見えます。

in_memory プロバイダーを使用すると、問題なくhttp_digest動作します。fos_user_bundleこの問題は、プロバイダーを使用する場合にのみ存在します。

機能するということは、を使用するときhttp_basicに有効なユーザー資格情報が受け入れられることを意味します。同じ有効なユーザーの詳細を使用http_digestすると、受け入れられず、ブラウザーのデフォルトの http 認証プロンプトが再表示されます。

セキュリティ構成の変更の合間に、dev と prod の両方のキャッシュをクリアし、ブラウザーのキャッシュを空にして、ブラウザーを閉じます。

構成に欠けている重要なものはありますか?

アップデート

http_basic の試行の成功と http_digest の試行の失敗をログに記録し、ログを比較しました。

両方のログは、Doctrine が認証に使用された SQL クエリをログに記録する場所まで同一です。

http_digest ログの認証クエリに続く行は次のとおりです。

FOSUserBundle を使用するパスワードは、ソルト化およびハッシュ化されます。

この問題が私の設定ミスによるものなのか、FOSUserBundle のバグなのかを確認したいと思います。

REST API を使用するアプリケーションがあり、セキュリティ スキームにダイジェスト認証を実装しています。問題は、アプリケーションにログインするときに、リソースが消費されるたびにデフォルトのユーザー/パス ウィンドウがポップアップするのではなく、ログイン時に書き込まれたユーザー名とパスワードを使用することです。最初の 401 ステータス応答を受信したときにその情報を使用するにはどうすればよいですか?

Lithium php フレームワークを使用して RESTful アプリを作成しましたが、問題はそれを保護する方法です。

リチウム フレームワークを使用する OAUTH または HTTP ダイジェスト認証用の既存のコードはありますか?

Rails 3 アプリでかなり基本的な HTTP ダイジェスト認証をセットアップしました。ほとんどの場合、Rails Controller Guideにある例に従います。

私の ApplicationController には before_filter があります:

これはすべてうまくいきます。ページは保護されている必要があります。

私は今、RSpec でこれをテストしようとしていますが、惨めに失敗しています。

私はこのSOの受け入れられた答えに従い、そのauthenticate_with_http_digest方法をサポートファイルに入れました。これが私の実際のテストです：

いくつかの問題:

1. 私が電話するかどうかにかかわらず、テストは毎回合格していますauthenticate_with_http_digest
2. 私が渡してauthenticate_with_http_digestいる引数は偽物であり、問​​題ではないようです。これらは、私が保存したものと一致する必要はありませんAPP_CONFIG["admin"]か?
3. before_filterの値をsuccess出力digest_authenticateすると、rspec ヘルパーに正しいパラメーターを渡しても、常に 401 が出力されます。

HTTP ダイジェスト認証を効果的にテストする方法はありますか?

ありがとう！