问题标签 [digest-authentication]

我正在寻找一个将摘要身份验证与 HttpWebRequest 一起使用的特定示例。为了进行 DigestAuthentication，我使用用户名/密码和域创建了 NetworkCredential。

然后我在 HttpWebRequest 上设置 Credentials 属性。

我的问题是向 HttpWebRequest 表明它是摘要身份验证需要什么。

我正在寻找使用摘要身份验证方案制作 HttpWebRequest 的具体示例。在所有示例中，我看到创建了一个 NetworkCredential，然后将其添加到 CredentialCache。

但是没有关于 HttpWeqRequest 如何进行摘要身份验证的指示。

谢谢

我正在尝试使用 aDigestAuthenticator来保护我使用 Restlet 创建的 API 的某些部分。在所有示例中，DigestAuthenticator期望包装 aLocalVerifier以纯文本形式返回本地密钥。显然，我不想以纯文本形式存储所有用户的密码。如何在不以纯文本形式提供本地密钥的情况下将 HTTP Digest 与 Restlet 一起使用？

我编写了一个使用标识符查询数据库并检索 sha1 密码的程序，但除非我以纯文本形式返回密码，LocalVerifier否则它不起作用。Verifier

有任何想法吗？

我正在尝试编写一个简单的程序，它使用 libcurl 使用摘要身份验证执行 HTTP POST。

当我使用适当curlopt_easy_setopt的调用设置要发送的 XML 缓冲区时，它工作正常CURLOPT_POSTFIELDS，CURLOPT_POSTFIELDSIZE然后调用curl_easy_perform.

但是，当我在设置为 1 后尝试连接CURLOPT_CONNECT_ONLY，然后使用curl_easy_send- 返回码（用于发送调用）是CURLE_UNSUPPORTED_PROTOCOL.

（当然，用户名、密码和digest认证方案之前都设置成功了）。

使用嗅探器，可以明显看出根本没有执行摘要协商。

我如何仍然使用curl_easy_send\ curl_easy_recvwith CURLOPT_CONNECT_ONLY，但让 libcurl 执行摘要协商？

提前致谢。

有没有办法注销在 php.ini 中完成的摘要身份验证。

我试过 unset($_SERVER["PHP_AUTH_DIGEST"]); 但它不会要求重新登录。我知道如果我关闭浏览器，它就会工作，这是我的功能。

我还需要在注销功能中添加什么来完成此操作。

如果我改变它的工作领域，但我不希望它被改变。

我使用 JAXRSClientFactory.create 方法来创建这样的代理：

这个代码工作正常。

之后，我需要将此服务与另一个凭据一起使用，并尝试使用另一个凭据创建相同的服务，如下所示：

此代码有效，但使用错误的凭据（使用来自第一个服务的凭据）。我没有找到任何改变它的方法（重置，或清除，或类似的东西）。

还有一个细节，这个问题只有摘要授权。有了基本，它工作得很好。

任何人都可以帮我解决这个问题。

谢谢。

我一直忙于为 Red5 创建一个应用程序。想象一下，当我尝试配置基本/摘要式身份验证但我做不到时，我会感到惊讶。令我感到奇怪的是，我有一个正在运行的 tomcat 实例，它可以使用以下 xml 正确运行和验证：

web.xml（部分）

和/conf 中的 tomcat-users.xml 看起来有点像这样：

烦人的事情是配置在tomcat的servlet容器上正确验证，但在red5的修改后，它只是不断要求验证。我是疯了还是应该像魅力一样工作？

1. Red5 是版本 0_9_1
2. stats.jsp 在两个 servlet 容器中都可以访问，唯一的区别是当您在 tomcat 中输入正确的密码和用户名时，您已登录，而在 red5 中您则没有，它只是不断询问您的密码。

任何指针？我错过了什么吗？

这是我在尝试登录时收到的错误的堆栈跟踪：

另外，这里是red5-web.properties的配置

甚至更多信息：

在我看来，它使用的是正确的领域：MemoryRealm

但是，在引导 Tomcat 之后，立即出现以下错误：

这个错误有点奇怪，因为在此之后，程序的其余部分似乎通过以下输出找到了 /WEB-INF/：

真正让我烦恼的是，正如您在输出中看到的那样，当我尝试登录时，我得到了一个与 JAASRealm 相关的异常，但是在 Tomcat 加载时的调试输出中，我很清楚它需要一个 MemoryRealm。我想知道我应该在 red5.xml 的何处以及如何指定 bean 属性，以便我强制 red5 使用 /conf/tomcat-users.xml 下的 MemoryRealm，因为它现在肯定不会这样做。

这似乎是我迄今为止发布的最大问题，但我试图尽可能全面地解释它以避免混淆。

我在 GAE 上托管我的 java 应用程序。我必须下载一些外部 RSS 页面并对其进行解析。问题是外部站点需要摘要身份验证。有没有办法使用HttpURLConnection类进行摘要身份验证。我无法使用HTTPClient ，因为GAE JRE 白名单中没有提到它

预先感谢您的帮助

实际上我想从加密的密码中取回密码。

密码加密如下：

如何解密 的值encryptedBinarySource？

嘿，所以，我有一个我正在浏览器应用程序中调用的 API。所述 API 存在于需要白名单和 HTTP 摘要身份验证的服务器上。

为了满足白名单的要求，我通过一个被列入白名单的代理运行所有 API 调用。调用源自当前由index.html文件填充的 iFrame。

我需要知道的是如何在后台通过 HTTP Digest 进行身份验证。我可以在网上找到的大多数资源似乎都涉及原始的HTTP Digest Authentication 设置，但我想做的是自动登录。

尽管有非保密的主题，但我保持对用户的摘要参数的混淆在某种程度上是至关重要的。也许我可以将服务文件更改为index.php然后以某种方式设置魔术头？即使这样，如果通过 XHR 进行调用，index.php 标头是否会验证单独的请求？

总的来说，我只是迷路了，有问题的 API 开发人员并没有完全响应，所以我想我会转向这里。

摘要式身份验证看起来像是一种挑战-响应机制：客户端和服务器都将随机字符串与密码（MD5 或其他东西）混合在一起，并且只有这种混合的结果通过网络发送。

通常挑战（“nonce”）由服务器选择并发送给客户端。关于摘要身份验证的维基百科文章列出了一个示例“会话” - 挑战（“nonce”）由那里的服务器选择。我在我的机器上用 IIS 进行了同样的测试——同样，挑战是由 IIS 产生的。

但是在像这样的一些帖子中，挑战是由客户端生成的——客户端只是生成一个随机字符串并发送一个请求，其中包含挑战以及密码和挑战的乘积。

后者是否被允许并被广泛接受？客户是否可以选择挑战（“nonce”）？