问题标签 [digest-authentication]

基本上我需要做的是执行摘要身份验证。我尝试的第一件事是此处提供的官方示例。但是当我尝试执行它时（通过一些小的更改，使用 Post 而不是 Get 方法）我得到一个

当失败时，我尝试使用：

起初我只覆盖了“realm”和“nonce”DigestScheme 参数。但事实证明，在服务器上运行的 PHP 脚本需要所有其他参数，但无论我是否指定它们，当我调用其 authenticate() 方法时，DigestScheme 都不会在 Authorization RequestPreperty 中生成它们。PHP 脚本返回 HTTP 响应代码 200，并显示 PHP 脚本需要 cnonce、nc 和 qop 参数的消息。

我已经为此苦苦挣扎了两天，没有运气。基于一切，我认为问题的原因是 PHP 脚本。在我看来，当应用程序尝试未经授权访问它时，它不会发送挑战。

有什么想法吗？

编辑：还有一件事，我试过用 cURL 连接，它可以工作。

我一直在使用现有的 Cake 安装进行 REST 实现，它看起来很棒，除了我想对所有请求使用 HTTP Digest Authentication（Basic Auth 不会削减它）。太好了，我将在客户端应用程序（不是蛋糕）中生成一个标题并将其发送到我的蛋糕安装。唯一的问题是，我找不到从请求中提取该摘要的方法......

我已经查看了 Cake API 以获取可用于获取 Digest Header 的内容。你会认为请求处理程序能够抓住它，但我找不到任何类似的东西。

必须有另一种获取我忽略的摘要的方法吗？

与此同时，我正在编写自己的正则表达式来将其从请求中解析出来......一旦我完成了，我会在这里发布它，这样就没有人需要像我寻找它那样浪费太多时间了。

一句话，我想将 JBoss 4.2.2 配置为使用 DatabaseServerLoginModule 作为通过 Digest Authentication 保护的 Web 应用程序的登录模块。我遇到的问题是密码无法验证。我怀疑问题出在我如何定义应用程序策略或密码如何存储在数据库中。

以下是所有相关文件。我有一个 MySQL 数据库，其中用户和角色使用以下模式定义：

对于 login-config.xml 文件中的应用程序策略，我定义了以下内容：

这是我的 Web 应用程序的 web.xml 文件：

最后，这里是 jboss-web.xml：

我还应该补充一点，我用以下内容填充数据库：

正如您在上面看到的，所有三个用户（例如 user1、user2、user3）都具有相同的密码；但在每种情况下，密码都使用 MD5 哈希编码（或不编码）。然而，以上都不起作用。这是我认为的问题的核心。

我将 ejabberd 作为我的 xmpp 服务器，这是我的 php 代码：

我的问题是服务器返回一个“1”。就是这样，没有接受，没有错误，只是一个数字 1。这之前的步骤都返回了预期的结果，但这部分我遇到了麻烦。我是 php 新手（这只是我用它创建的第二个页面）所以我想知道我是否正确遵循了 SASL 步骤，或者它是否是 ejabberd 的问题？

从维基百科，我读到：

Joux[3] 指出，2 次冲突会导致 n 次冲突：如果可以找到具有相同 MD5 哈希的两条消息，那么实际上找到攻击者想要的具有相同 MD5 哈希的尽可能多的消息并不困难。

但为什么会这样呢？我无法想象为什么？算法是开放的，人们可以阅读生成哈希的数学，这是摘要机器。那么，如果我们知道一次碰撞，为什么它有助于找到新的碰撞呢？

它只是对第一个碰撞消息进行小迭代，然后监视它们的更改以重新映射它们吗？

我在 stackoverflow 上发现了很多关于摘要身份验证的问题。我找不到摘要身份验证如何防止重放攻击？我使用 fiddler 工具来拦截对服务器的 http 请求。我使用相同的工具将请求重播到服务器，但服务器要求进行身份验证。

我需要准确了解如何防止重放攻击。服务器如何能够检测到 http 请求的任何重放？

任何链接/资源将不胜感激。

我应该将基本身份验证、摘要身份验证和 Oauth 中的哪一个用于我的 Web 应用程序，以让用户通过 Restful API 调用访问资源。

Oauth 不是替代基本身份验证和摘要身份验证的更好解决方案吗？

我想使用clojure使用 REST API ，但我需要使用摘要身份验证。我一直在谷歌搜索，但在任何客户端库中都找不到对它的直接支持，而且 Java 端的文档（以及一般的摘要身份验证实现）很差。

我基本上想获得关于最简单的路线的建议，以便对来自 clojure 的 http 请求进行摘要身份验证。

我最近在我在 ASP.NET 中为我的公司创建的 Intranet 网站/应用程序上启用了摘要式身份验证。

我这样做的原因是因为 Windows 身份验证似乎只适用于某些用户，而不适用于其他用户。我不知道为什么，我对 IIS 的了解也不够多，无法尝试追踪问题。经过反复试验，我发现摘要式身份验证似乎给了我想要的行为。即：仅允许在域中具有有效帐户的用户使用其凭据登录网站。

现在的问题是 Firefox (3+) 似乎要求用户对发送到服务器的每个 HTTP 请求进行身份验证。在 Internet Explorer (6+) 或 Chrome 中似乎不会出现这种情况。

我尝试过寻找解决方案，但总是走入死胡同。我会找到有关该问题的讨论，并且每个发布的解决方案都会导致死链接……或者它在专家交流中，我无权查看解决方案。

这个问题似乎与（从我所读到的）不同的浏览器发送其身份验证标头的方式与 IIS 如何解释它们有关。我不确定我能做些什么来改变这一点？我发现的解决方案之一提到编写一个 ISAPI 过滤器来解决这个问题，但是到完成的过滤器的链接当然被破坏了，我不知道如何自己制作一个。

我尝试在 about:config 中弄乱 NTLM 和其他与身份验证相关的字符串，以尝试强制 Firefox 信任我的服务器，但这似乎也不起作用。

从我读过的其他一些资料来看，如果我切换回 Windows 身份验证，似乎一切都应该正常工作，但随后我又回到了第一方，身份验证仅适用于某些用户而不适用于其他用户。

任何一个问题的解决方案都对我有用，但我对 Windows 身份验证问题的信息很少。如果有人可以指导我跟踪问题，我也很乐意为此发布更多信息。

以下是我发现的讨论相同问题的 URL。（对不起，我无法将它们全部链接，否则我不会发布）

• support.mozilla.com/tiki-view_forum_thread.php?locale=pt-BR&forumId=1&comments_parentId=346851
• www.experts-exchange.com/Software/Internet_Email/Web_Browsers/Mozilla/Q_24427378.html
• channel9.msdn.com/forums/TechOff/168006-Twin-bugs-in-IIS-IE-unfair-competitive-advantage-EDIT-SOLVED/
• www.derkeiler.com/Newsgroups/microsoft.public.inetserver.iis.security/2006-03/msg00141.html

我正在实现单点登录功能，以便使用摘要身份验证自动登录到附属的 https 网站。目前我的代码是

问题是我得到

我想这是有道理的，但对我没有帮助。我将如何创建一个请求/响应以在此处登录（并最终获得一个 sessionId）？

提前致谢。