2

我尝试编写一个 C++ 应用程序,我必须进行 HTTP Digest Authentication。问题主要不在于 C++,而在于没有建立连接这一事实。我尝试访问的网站如下: httpbin.org/digest-auth/auth/user/passwd 。

考虑以下服务器对简单的响应GET /digest-auth/auth/user/passwd

HTTP/1.1 401 UNAUTHORIZED Access-Control-Allow-Credentials: true Access-Control-Allow-Origin: * Content-Type: text/html; charset=utf-8 Date: Mon, 08 Sep 2014 15:10:09 GMT Server: gunicorn/18.0 Set-Cookie: fake=fake_value Www-Authenticate: Digest realm="me@kennethreitz.com", nonce="2a932bfb1f9a748a7b5ee590d0cf99e0", qop=auth, opaque="2d09668631b42bff8375523e7b27e45e" Content-Length: 0 Connection: keep-alive

A1然后被计算为user:me@kennethreitz.com:passwd并被散列4de666b60f91e2444f549243bed5fa4b,我将其称为 HA1。 A2被计算为GET:/digest-auth/auth/user/passwd和散列b44272ea65ee4af7fb26c5dba58f6863,我将其称为 HA2。

有了这些信息,响应计算为HA1:nonce:1:ac3yyj:auth:HA2,其中HA1HA2是我们刚刚计算的值,并且从上面的服务器响应中获取随机数,总共是:4de666b60f91e2444f549243bed5fa4b:2a932bfb1f9a748a7b5ee590d0cf99e0:1:ac3yyj:auth:b44272ea65ee4af7fb26c5dba58f6863。的哈希是55f292e183ead0810528bb2a13b98e00.

结合所有这些信息应该足以使用摘要身份验证建立 http 连接。但是,以下请求被服务器拒绝并以另一个HTTP/1.1 401.

GET /digest-auth/auth/user/passwd HTTP/1.1 Host: httpbin.org Authorization: Digest username="user", realm="me@kennethreitz.com",nonce="2a932bfb1f9a748a7b5ee590d0cf99e0",uri="/digest-auth/auth/user/passwd",qop=auth,nc=1,cnonce="ac3yyj",response="55f292e183ead0810528bb2a13b98e00",opaque="2d09668631b42bff8375523e7b27e45e"

请注意,格式不显示请求的结构。从 Authorization 到 opaque 的块实际上是一行。

随意重新进行 md5 计算 - 但我已经手动重做计算并获得与我的程序相同的哈希值。我使用该工具(http://md5-hash-online.waraxe.us/)进行手动计算。

我是否在这里遗漏了一些明显的东西,可能在某种程度上误解了标准?为什么我无法获得授权?

4

1 回答 1

0

终于明白了。身份验证本身是完全正确的。

服务器要求设置 cookie。显然,也必须在响应中显示该 cookie。这就解释了为什么 firefox(作为浏览器)可以正确地进行身份验证,而 curl 和 lwp-request 却不能遵守标准——RFC 对 cookie 只字未提。为什么我们有没有人关心的标准?

无论如何,附加Cookie: fake=fake_value到标题可以解决问题。

于 2014-09-09T11:46:21.147 回答