1

当尝试访问使用基本身份验证保护的服务器时,我的第一个请求总是失败,但第二个请求使用相同的凭据成功。

以下是相关方法:

// username and password are entered by the user, the serviceurl is the endpoint on the server
private boolean testHttpLogin(String username, String password, String serviceUrl) {
  if (username != null && username.length() > 0 && password != null && password.length() > 0) {
    try {
        Response<String> serverResponse = null;
        serverResponse = Ion.with(getApplicationContext()).load(serviceUrl).noCache()
                            .basicAuthentication(username, password)
                            .asString().withResponse().get();
        logger.debug("response in testLogin: " + serverResponse.getResult());
        int responseCode = serverResponse.getHeaders().code();
        if (responseCode != HttpURLConnection.HTTP_UNAUTHORIZED) {
            taskUserName = username;
            taskPassword = password;
            logger.info("Login successful!");
            return true;
        } else {
            logger.info("Login failed!");
            BasisUtils.showToast("User not authorized!");
        }
    } 
    catch (ExecutionException | InterruptedException e) {
        [...] // handle exceptions...   
    }       
    return false;
  }
}

因此,当用户尝试登录时,第一次它会以“未授权”的形式返回,而当他第二次尝试登录时(不更改任何输入),它会起作用。

我已经尝试过的事情:

  • 首先发送未经身份验证的请求,然后发送经过身份验证的请求
  • 首先发送带有错误凭据的经过身份验证的请求
  • 在发送第二个请求之前等待半秒
  • 使用 Ion 启用/禁用缓存

第一个请求的响应头如下:

Date: Fri, 12 Jun 2015 13:00:00 GMT 
Server: Apache
WWW-Authenticate: Basic realm="somerealm"
Content-Length: 381
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

成功登录的标头如下所示:

date: Fri, 12 Jun 2015 14:28:15
server: Apache
x-powered-by: ASP.NET
x-aspnet-version: 2.0.50727
x-xss-protection: 1; mode=block
x-frame-options: SAMEORIGIN
cache-control: private, must-revalidate, max-age=0
content-type: text/html;charset=utf-8
set-cookie:[the token I need]; Expires=Fri, 12-Jun-2015 14:29:12 GMT; Path=/path/on/server; HttpOnly
vary: Accept-Encoding
content-encoding: gzip
content-length: 1689
keep-alive: timeout=15, max=98

更新

请求标头如下所示:

Host: mobile.myserver.com:4434
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.2; GT-P5100 Build/JZO54K)
Accept-Encoding: gzip, deflate
Connection: keep-alive
Accept: */*
Cache-Control: no-cache
Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ= // exchanged the real credentials against username:password

它们对于两个请求都是相同的。

今天查看标头,我注意到之前连接到服务器的标头中包含一个 cookie(我必须在用户登录之前检查服务器上的身份验证方法)。我现在在发出请求之前删除所有 cookie(以防 cookie 对请求无效):

Ion.getDefault(getApplicationContext()).getCookieMiddleware().getCookieStore().removeAll();
serverResponse = Ion.with(getApplicationContext()).load(serviceUrl).noCache()
                    .setLogging("ION VERBOSE", Log.VERBOSE).basicAuthentication(username, password)
                    .asString().withResponse().get();

我只是看得更远一点,它变得更加混乱。显然,第二个请求甚至不必在同一个“应用程序会话”中(即我可以通过设置强制停止应用程序,重新打开它并且请求仍然会成功)。

4

0 回答 0