问题标签 [digest-authentication]

我正在尝试在我的域的 /admin 下设置非常基本的摘要身份验证（实际上，它是一个子域）。我在我的注册身份验证程序bootstrap.php：

然后，我请求用户使用插件登录每个请求AdminAuth.php：

这似乎工作正常。但是，身份验证总是失败。我已经多次检查客户端和服务器的 MD5 哈希，它们是正确的。这是 admins.txt 的样子：

我还尝试将摘要更改为基本身份验证并将 MD5 哈希更改为纯文本。但是，身份验证仍然失败。

当我在控制台中执行以下命令时：

我得到以下输出：

特别注意有Authentication problem. Ignoring this.没有人知道可能出了什么问题？我 100% 确定提供的用户凭据是正确的（我还检查了大写字母等）。

我正在尝试使用 JMeter 测试 Web 应用程序，但没有关于如何设置它以使用摘要身份验证的文档。我尝试使用代理服务器记录身份验证，但请求没有我可以在 UI 中看到的信息，并且播放不起作用。似乎 JMeter 的默认设置是基本身份验证，尽管我听说过可以使用摘要的提示。一个简单的例子会很棒。

在 Apache Sling 中可以进行摘要身份验证吗？如果是这样，任何指针表示赞赏！

有谁知道我们如何在 Rails 中测试 HTTP Digest 身份验证？

在http://lightyearsoftware.com/2009/04/testing-http-digest-authentication-in-rails/给出的示例中，我得到“NameError：未初始化的常量 ActionController::ProcessWithTest”

我在尝试使用 Digest 身份验证与 Web 服务器 (Apache 2.2.17) 通信并使用 POST 方法发送数据时遇到问题：它总是返回 401 错误。但是，当我们不发布数据或 Fiddler 正在运行时（即使在发布数据时），它也能正常工作......您知道什么会导致问题吗？

我需要一个跨平台的解决方案来正确地进行摘要访问身份验证，最好对 POST 请求使用“qop=auth-int”。似乎只有 Opera 会以 qop=auth-int 响应，而 IE 6 在任何摘要方面都有问题。

所以我心想：我知道，我将只做一个 AJAX 请求并使用 setRequestHeader() 自己实现身份验证。我已经实现了执行 RFC-2617 所需的服务器端东西，所以我唯一的主要障碍是弄清楚如何通过 javascript 获得足够的控制来解析 401 WWW-Authenticate 标头并形成适当的响应。

这就是问题所在：看起来浏览器处理了 401，而不是允许将其传递给 XMLHttpRequest.onreadystatechange。如果已经为站点存储了用户/通行证，则 Chrome 和 Firefox 将静默处理身份验证标头上的附加信息。如果没有，他们将弹出正常的登录框。

在您警告我 Digest Auth 的不足之处并告诉我我需要使用 TLS 之前——我意识到安全风险。服务器是一个资源非常有限的嵌入式平台，SSL 并不是一个真正的选择。服务器没有缩进出现在公共互联网上。因此，身份验证更多地是为了阻止好奇的未经授权的人进行更改（想想有好心但知识不足的经理），而不是知道如何做中间人的恶意攻击者。

我尝试在使用http.get时实现摘要请求并每次都收到“摘要身份验证失败”消息:(

这段代码有什么问题？

我开始了一个设置基本身份验证的项目。我现在想切换到摘要式身份验证。问题是，只有当我提供实际密码的哈希值而不是实际密码时，身份验证才会被验证。

我做了以下从 BASIC 切换到 DIGEST：

1. 在我的 web.xml 中将身份验证方法更改为 DIGEST

2. 将我的 JDBC 领域的 JAAS 上下文更改为“jdbcDigestRealm”

3. 在我的数据库中，我曾经有“密码”作为密码，我更改为 MD5(webuser:postgres:webuser) 的结果（其中 webuser 是登录名，webuser 是密码，而 postgres 是领域），在换句话说，我将表中的密码设置为 c3c2681ed07a5a2a5cb772061a8385e8。

我遇到的问题是，当我尝试访问资源时，浏览器会显示登录弹出窗口，但使用“webuser”作为密码不起作用。但是，使用“c3c2681ed07a5a2a5cb772061a8385e8”作为密码有效。看来我仍处于 BASIC 身份验证模式。

有什么线索吗？

谢谢 ！

我有 Apache 前面的乘客。我正在尝试有选择地对我的 URL 进行摘要身份验证。我有以下情况。

1. 位置 / 需要在领域 Foo 下进行摘要认证
2. 位置 /a 不需要认证
3. 位置 /a/b 需要在领域 Bar 下进行摘要认证

这是我的配置（或多或少）：

结果如下：

1. 位置 / 正在摘要认证 Foo
2. 位置 /a 未通过任何身份验证
3. 位置 /a/b 也未经过任何身份验证

我对此相当陌生。我究竟做错了什么？

我知道这是一个非常广泛的问题，但我不打算问你一个完整的实现（我知道有一些库会为我做这件事）我只是有一些关于它的小问题。

1. nonce 值是否应该放在 http 标头中？
2. 如何从客户端的 http 标头中读取 nonce？
3. 如何将随机数发送回服务器？也许在一个隐藏的领域？或者浏览器会为我为每个后续请求执行此操作吗？
4. 关于客户端随机数（cnonce）我应该以与任何其他字段或隐藏字段相同的方式发送它吗？
5. 如何从服务器取回 cnonce？和nonce一样吗？

在我的项目中，我使用 servlet 来生成 html 页面，并且我有一个 servlet 来处理 http 登录表单。