问题标签 [digest]

我正在开发一个 Java 软件，它应该通过 HTTP 向 URL 发出请求。其中一些 URL 需要通过 DIGEST 或 BASIC 进行 HTTP 身份验证。

我的客户端软件只会联系这些 URL，如果 HTTP 响应是 HTTP_OK(200)，它会将输出写入文件。

Q1：我想知道从我的客户端测试 HTTP 身份验证 DIGEST 和 BASIC的最快和最简单的方法是什么？

Q2：我要安装这种服务器还是网上已经有一些“测试服务器”？

Q3 : 如果我必须安装一个，是否存在一种快速安装和配置它的方法？

谢谢。

我正在设计一个 REST 服务，该服务需要很好地防止未经授权的访问。我正在考虑需要一个通过散列所有请求参数以及带有 sha-256 的密钥生成的安全摘要，并使该服务仅通过 https 可用。谁能告诉我这是否足够安全？

我编写了一个简单的 Java 类来生成 Windows Calculator 文件的哈希值。我正在使用Windows 7 Professional with SP1. 我试过Java 6.0.29和Java 7.0.03. 有人能告诉我为什么我从 Java 和（很多！）外部实用程序和/或网站获得不同的哈希值吗？外部的一切都相互匹配，只有 Java 返回不同的结果。

G'day 人，

我正在使用 redis 作为后备存储在 ruby​​ (sinatra) 中重新实现现有的自定义文件上传服务。

客户端计算 SHA1 哈希并启动上传最多上传 64K 块直到完成

服务器将块附加到文件计算完整文件的 SHA1 哈希以验证正确接收

现在，我希望做的是在每个块上使用 ruby​​ (1.9.3) Digest::SHA1 << (update) 运算符（而不是最后从头开始读取整个文件）。[大文件 > 1GB]。

不幸的是 Digest::SHA1 和 Marshal.dump 不兼容

有没有人对如何：

1. 访问底层内存（在 C 中操作）并存储/恢复这样的对象？
2. 获得允许类似用例的替代实现？

谢谢，

参数

更新：要点：2280705使用 ruby​​ FFI 实现选项 1 - 希望对其他人有用

如何将字符串或值转换为字节数组？我需要它来进行 SOAP 身份验证。我的要求是 - 在客户端，这是创建摘要的方法： 1. 客户端摘要数组 = 字节数组随机数 + 字节数组 UTF-8 字符串的 UTC 日期时间 + 字节数组 UTF-8 纯文本密码（连接这三个）。2. 客户端 SHA-1 摘要 = 使用 SHA-1 算法的哈希客户端摘要数组。3. 客户端 WS-Security 摘要 = 64 位编码客户端 SHA-1 摘要

Password_Digest = Base64 (SHA-1 (nonce + timestamp + password))

这是我用来生成随机数、时间戳和摘要密码的代码。用户密码是一个字符串。整个过程中出现了一些问题，我的摘要没有成功生成。我想我有这些数据类型是正确的，字节数组和 UTF8 让我感到困惑。我添加了 utf8 转换但没有区别。

我的应用程序有几个组件，需要它们的通信在 Origin Verified 意义上是安全的。这些组件不能共享一个共同的秘密。所以我必须选择非对称密钥加密。假设我有两个组件A并且BA 发送一些数据F到B并且B必须验证它确实来自A

A使用其私钥生成摘要H，附加到其请求参数，发送并声明来源/发件人，以验证摘要提供的反对F
AA_pubHFA
BHA_pubF

显然它看起来还可以，但是如果其他一些组件V与 相同V_pub并声称自己为A，B仍然认为请求来自，A因为这H是用V_prvopenssl 验证的。

我想保护免受这种攻击V

我正在使用ecparam secp112r1最小化密钥长度。并且键被反复更改。

--编辑--

A，B并且V是由唯一标识的应用程序组件URI。它目前旨在限制安全页面流。例如，您可以假设A, B,V是 urls 我想要的是只有A可以处理B并且只能B继续C....并且我不想为此维护一个全局/应用程序范围的会话。因此，如果可以仅根据以无状态/无会话方式传递给它B的特殊参数来验证此链接的来源。A而且它越通用，在其他场景中实现的可重用性也越高。

曾经我想A_pub在受信任的全局存储中维护校验和。但是我担心这不是过度工程吗？

我想到的另一种方法是查询有关公钥的原始 url。但是我想避免这种情况。

我有一个文件的 MD5 十六进制摘要的字符串表示形式，我想将其转换为 base64 以便在上传时使用 Content-MD5 HTTP 标头。有没有比以下更清晰或更有效的机制？

我对 RoR 比较陌生，我很好奇为什么 Rails 会编译带有和不带有 md5 哈希的资产以用于生产？

bundle exec rake assets:clean然后我跑bundle exec rake assets:precompile

我的 production.rb 文件：

我的应用程序使用名称中带有哈希的文件，这在我的情况下应该是这样:)

所以我在这里有两个问题：

1）为什么编译时会发生？

Rails 编译带有和不带有 md5 哈希的资产以用于生产

2）这些文件（没有哈希）是做什么用的？

也许我没有得到什么，所以请有人解释一下。

我有一个受摘要保护的 REST API。我想下载我的 JSON 响应，但首先我必须针对其余 api 进行身份验证。我正在使用 sendAsynchronousRequest:queue:completionHandler: 处理我的请求。但我不知道如何处理摘要身份验证。我认为使用 NSURLConnectionDelegate 的委托方法 didReceiveAuthenticationChallenge 这应该是可能的？我在 .h 文件中声明了 NSURLConnectionDelegate 并在实现中添加了该方法。但什么也没有发生。有什么建议如何用 "sendAsynchronousRequest:queue:completionHandler:" 处理这个问题？

据我所知，在摘要身份验证中，客户端使用密码和服务器提供的随机值作为输入值进行不可逆计算。结果被传输到执行相同计算的服务器，如果客户端到达相同的值，则对客户端进行身份验证。由于计算是不可逆的，窃听者无法获得密码。

留意上面的定义，我用CryptoJS.HmacSHA256("password", "key") Javascript将信息发送到django服务器，现在问题是：

我需要在服务器中使用相同的逻辑进行检查，但 django 已经以自己的格式对密码进行了哈希处理，例如使用pbkdf2_sha256.

我应该使用像AES这样的可逆算法吗？我认为不可能破解 django 的哈希算法并为客户端编写相同的算法？