2

我正在尝试使用来自gathercontent.com 的API 使用节点js 进行简单的(!)摘要身份验证。

一切似乎都正常,但我仍然收到如下所示的“错误凭据”响应:

{ success: false, error: 'Wrong Credentials!' }

代码如下所示:

var https = require('https'),
    qs = require('querystring');
apikey = "[my api key goes in here]",
    pwd = "[my password goes in here]",
    crypto = require('crypto');


module.exports.apiCall = function () {

    var options = {
        host:'abcdefg.gathercontent.com',
        port:443,
        path:'/api/0.1/get_pages_by_project/get_me',
        method:'POST',
        headers:{
            "Accept":"application/json",
            "Content-Type":"application/x-www-form-urlencoded"
        }
    };

    var req = https.request(options, function (res) {

        res.on('data', function (d) {
            var creds = JSON.parse(d);


            var parsedDigest = parseDigest(res.headers['www-authenticate']);
            console.log(parsedDigest);
            var authopts = {
                host:'furthercreative.gathercontent.com',
                port:443,
                path:'/api/0.1/get_pages_by_project/get_me',
                method:'POST',
                headers:{
                    "Accept":"application/json",
                    "Content-Type":"application/x-www-form-urlencoded",
                    "Authorization" : getAuthHeader(parsedDigest, apikey, parsedDigest['Digest realm'], pwd)
                }
            };

            console.log(authopts);
            console.log('\n\n\n');
            var req2 = https.request(authopts, function (res2) {
                console.log("statusCode: ", res2.statusCode);
                console.log("headers: ", res2.headers);


                res2.on('data', function (d2) {
                    var result = JSON.parse(d2);

                });
            });

            req2.end();



        });

    });


    req.write('id=1234');

    req.end();

    req.on('error', function (e) {
        console.error(e);
    });

};

function parseDigest(s){

    var parts = s.split(',');
    var obj = {};
    var nvp = '';

    for(var i = 0; i < parts.length; i++){

        nvp = parts[i].split('=');
        obj[nvp[0]] = nvp[1].replace(/"/gi, '');
    }



    return obj;
}

function getAuthHeader(digest, apikey, realm, pwd){
    var md5 = crypto.createHash('md5');
    var s = '';

    var nc = '00000001';
    var cn = '0a4f113b';

    var HA1in = apikey+':'+realm+':'+pwd;
    md5 = crypto.createHash('md5');
    md5.update(HA1in);
    var HA1out = md5.digest('hex');

    var HA2in = 'POST:/api/0.1/get_pages_by_project/get_me';
    md5 = crypto.createHash('md5');
    md5.update(HA2in);
    var HA2out = md5.digest('hex');

    md5 = crypto.createHash('md5');
    var respIn = HA1out + ':' + digest.nonce + ':'+nc+':'+cn+':'+digest.qop+':'+ HA2out;
    md5.update(respIn);
    var resp = md5.digest('hex');


    s = [   'Digest username="',apikey,'", ',
        'realm="',digest['Digest realm'],'", ',
        'nonce="',digest.nonce,'", ',
        'uri="/api/0.1/get_pages_by_project/get_me", ',
        'cnonce="',cn,'", ',
        'nc="',nc,'", ',
        'qop="',digest.qop,'", ',
        'response="',resp,'", ',
        'opaque="',digest.opaque,'"'].join('')

    return s;
}

我会尝试卷曲它,但我不知道怎么做!

任何帮助表示赞赏!

4

5 回答 5

5

我看到了几个可能与您的问题有关的问题。很难说哪些是真正的罪魁祸首,因为对gathercontent 的实现一无所知。如果您粘贴了他们的“WWW-Authenticate”标头的示例,则提供特定帮助会容易得多。

所以我在猜测实际原因是什么,但这里有一些实际问题你应该解决,以符合规范(即保护它在未来不被破坏,因为服务器开始做的事情略有不同):

  • Authorization您正在创建的标题中,删除周围的双引号nc也许还有qop
  • 我不知道qopgathercontent正在使用什么价值。如果是auth-int,那么您还必须将散列的 HTTP 正文附加到HA2,请参阅规范的 #3.2.2.3 - 此外,他们可能会指定一个逗号分隔的 qop 值列表供您选择 - 或者服务器可能qop根本不发送值,即他们使用 HTTP 摘要身份验证中最基本的 from,在这种情况下,您的实现将违反规范,因为那时您不允许发送 acnoncenc
  • 您尝试通过 获取领域parsedDigest['Digest realm'],即您假设 therealmDigest是初始关键字之后的第一个属性。情况可能是这样,也可能不是,但你不应该依赖它(在拆分其余部分之前修改你的parseDigest函数以剥离字符串)"Digest "
  • 您使用 的方式parsedDigest,您假设Digest总是以这种方式大写,并且realm,nonce总是小写。根据规范,这些都是不区分大小写的

几个不相关的问题:

  • 服务器真的强迫你使用Digest authentication吗?这是 HTTPS,所以你不妨这样做Basic authentication,它更容易,而且使用 HTTPS,同样安全。(在这里回答我自己,检查了收集内容后:基本身份验证显然是不可能的
  • 正如我在对您的问题的评论中提到的那样,cnonce每个请求都应该是随机的,尤其是,您不应该从Wikipedia复制和粘贴它,这会使您更容易受到攻击(但这里不是问题,因为您的所有数据都通过 SSL案子)

关于如何卷曲 - 试试这个:

curl --data 'id=1234' --digest --user "apikey:pwd" https://abcdefg.gathercontent.com:443/api/0.1/get_pages_by_project/get_me
于 2012-10-18T00:59:19.290 回答
3

是来自 GatherContent 的彼得。

第一个非常明显的事情是使用 justget_me而不是get_pages_by_project/get_me. 你在后者中混合了两种不同的东西。get_me不需要通过 POST 发送的任何参数,因此您可以删除它们。

另外,请确保您的密码始终为小写x

它有什么改变吗?

编辑: 对于任何感兴趣的人,这里是我们的 API 文档: http: //gathercontent.helpjuice.com/questions/26611-How-do-I-use-the-API

于 2012-10-19T13:44:05.200 回答
1

express-auth模块支持多种身份验证方案,包括 HTTP Digest。见:https ://github.com/ciaranj/express-auth

另一个很好的选择是passporthttps ://github.com/jaredhanson/passport

两个模块中的 http-digest 示例往往侧重于为您的 node.js 应用程序建立身份验证,而不是将身份验证请求转发给第三方。但是,您应该能够通过一些面条使其工作。

如果按下,我会使用护照。提供的示例更加清晰和记录在案。

希望有帮助...

于 2012-10-14T16:32:27.083 回答
0

我会建议你使用 mikeal 的请求模块,它使它更容易和更清洁。

遗憾的是,Request 尚不支持 HTTP Auth,但您只需要设置Authorization标头即可。

于 2012-10-12T00:36:37.180 回答
0

试试urllib它将与简单和 disgest auth 一起使用。

参见示例: https ://stackoverflow.com/a/57221051/8490598

于 2019-07-26T13:29:35.693 回答