22

我正在开发一个 HTML5 移动应用程序,它与WebServices. WebServices 使用 NTLM 身份验证协议。我很难通过 JavaScript 处理握手。NTLM 将401 unauthorized作为响应发送到我的 POST,我还没有找到任何响应方式。

是否可以使用 JavaScript 进行 NTLM 身份验证?我应该建立一个代理网络服务,例如中间的基本身份验证吗?

我的 jQuery 调用类似于...

$.ajax({
                    type: "POST",
                    url: URL,
                    contentType: "text/xml",
                    dataType: "xml",
                    data: soapRequest,
                    username: 'username',
                    password: 'password',
                    xhrFields: {
                        withCredentials: true
                    },
                    success: processSuccess,
                    error: processError
});
4

4 回答 4

10

您不必响应 NTLM(集成 Windows 身份验证)质询,如果配置正确,您的浏览器应该会为您完成。一些额外的并发症也可能发生。

第 1 步 - 浏览器

检查浏览器是否可以使用 NTLM Web 应用程序访问和发送您的凭据,或者首先直接点击您正在开发的软件。

第 2 步 - JavaScript withCredentials 属性

当我未能将“withCredentials”属性设置为“true”时,收到的401 Unauthorized错误和描述的症状完全相同。我不熟悉 jQuery,但请确保您设置该属性的尝试成功。

这个例子对我有用:

var xhttp = new XMLHttpRequest();
xhttp.open("GET", "https://localhost:44377/SomeService", true);
xhttp.withCredentials = true;
xhttp.send();
xhttp.onreadystatechange = function(){
  if (xhttp.readyState === XMLHttpRequest.DONE) {
    if (xhttp.status === 200)
      doSomething(xhttp.responseText);
    else
      console.log('There was a problem with the request.');
  }
};

第 3 步 - 服务器端启用 CORS(可选)

我怀疑人们最终遇到这个问题的一个主要原因是他们正在他们的工作站上开发一个组件,而另一个组件托管在其他地方。这会导致跨域资源共享 (CORS)问题。有两种解决方案:

  1. 在您的浏览器中禁用 CORS - 当您的工作最终将部署在与您的代码正在访问的资源相同的源上时,这对开发很有用。
  2. 在您的服务器上启用 CORS - 在更广泛的互联网上有大量阅读资料,但这主要涉及发送启用 CORS 的标头。

简而言之,要使用凭据启用 CORS,您必须:

  • 发送与所服务页面的来源匹配的“Access-Control-Allow-Origin”标头...这不能是“*”
  • 发送值为“true”的“Access-Control-Allow-Credentials”

这是我的 global.asax 文件中的工作 .NET 代码示例。我认为很容易看到正在发生的事情并在需要时翻译成其他语言。

void Application_BeginRequest(object sender, EventArgs e)
{
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Methods", "GET, POST");
        Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept");
        Response.AddHeader("Access-Control-Max-Age", "1728000");
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.Headers["Origin"] != null)
            Response.AddHeader("Access-Control-Allow-Origin" , Request.Headers["Origin"]);
        else
            Response.AddHeader("Access-Control-Allow-Origin" , "*"); // Last ditch attempt!
    }
}
于 2017-12-21T02:04:47.890 回答
5

据我所见,没有人使用 AJAX 实现 Windows 集成/NTLM 身份验证,尽管它应该是可能的(我正在考虑为当前项目执行此操作,以将表单身份验证与 WindowsTokenRoleProvider 结合起来)

基本工作流程应该像这样分解(基于这里这里的文章):

  1. 在“授权”标头中使用 base64 编码的 type-1 NTLM 消息执行 GET 请求
  2. 从 401 响应中的“WWW-Authenticate”标头中取出 base64 编码的 type-2 NTLM 消息。
  3. 对上一步中收到的 noonce 执行 NTLM 操作(抱歉,我还没有代码示例)
  4. 在“授权”标头中使用 base64 编码的 type-3 NTLM 消息执行最终 GET。这应该返回 200。

NTLM auth over HTTP 更像是使用 HTTP 的 CHAP 实现,而不是授权的 HTTP 请求。

如果我真的开始实施这个,我会更新你的。抱歉,我无法提供更多帮助。

于 2013-09-19T21:38:27.690 回答
3

问题是您无法通过javascript获取当前登录的域/用户(或者如果可以的话,我从未找到解决方案)。

如果您已经知道域、用户名和密码,您可以使用类似https://github.com/erlandranvinge/ntlm.js/tree/master

但是,我认为从长远来看,采用这种单点登录方法会令人沮丧。

我们最终在隐藏的 iframe 中进行 NTLM 身份验证并通过 javascript 访问 iframe。

于 2015-09-15T12:56:28.997 回答
0

是的,NTLM 不是很有趣。但你可能想试试这个, https://github.com/tcr/node-ntlm/blob/master/README.md

于 2014-02-14T03:43:02.077 回答