问题标签 [digest]

我正在尝试为 tomcat 管理器应用程序设置摘要密码。

我有

在我的 tomcat server.xml 中，将管理器 Web 应用程序的 web.xml 更改为使用摘要并将领域名称更改为 TESTING：

然后我使用包含的 bat 文件生成 md5 哈希：

然后我在 tomcat-users.xml 中有一个用户，该用户使用该摘要哈希作为密码：

我还修改了 401.jsp 页面以使用摘要和 TESTING 作为领域名称。

我启动 Web 应用程序，转到http://localhost:8080/manager/html并使用标准表单进行提示。以用户身份输入tomcat ，密码为testor，我按回车只得到 401。当然，我一次又一次地尝试得到 401。

据我所知，我可能最终会通过 SSL 进行 BASIC 身份验证，因为 ant 无法进行摘要。

但是有没有办法做到这一点？

客户端应该指定什么？

这够了吗：

服务器端应该指定什么？显然需要：

但是在服务器中哪里指定摘要用户名\密码来验证客户端？

另外，当 Micosoft 说 Digest Authentication 使用域控制器时，这是什么意思？它是否针对它验证用户名\密码？

我一直在使用现有的 Cake 安装进行 REST 实现，它看起来很棒，除了我想对所有请求使用 HTTP Digest Authentication（Basic Auth 不会削减它）。太好了，我将在客户端应用程序（不是蛋糕）中生成一个标题并将其发送到我的蛋糕安装。唯一的问题是，我找不到从请求中提取该摘要的方法......

我已经查看了 Cake API 以获取可用于获取 Digest Header 的内容。你会认为请求处理程序能够抓住它，但我找不到任何类似的东西。

必须有另一种获取我忽略的摘要的方法吗？

与此同时，我正在编写自己的正则表达式来将其从请求中解析出来......一旦我完成了，我会在这里发布它，这样就没有人需要像我寻找它那样浪费太多时间了。

我们需要让我们的客户能够更新 Android 应用程序中的一些组件，例如图标/徽标、字典文件等。

我看到 .APK 可以像 7-zip 的 JAR 一样打开，希望可以在那里编辑/替换文件。但需要更新其中的 MANIFEST.MF 文件，其中包含每个 .APK 组件的摘要，例如：

清单版本：1.0 创建者：1.0 (Android)

名称：res/raw/icon.png SHA1-摘要：6Un2G/VIkYfIGfMxruadIHtDABc=

名称：res/raw/logo.png SHA1-摘要：zsIQqGWSu9w5m7gsl0jQoziy7JA= ...

如何更新这些摘要？

我无法弄清楚我在这里做错了什么。我有以下代码：

查看 NetBeans 调试器中摘要字节 [] 的十六进制值，它显示的内容与以下输出不同：

我猜这是字符编码问题，但 JVM 和 openssl 不使用机器的默认字符集吗？

任何帮助表示赞赏。

我发现的各种文章（1、2 ）使这看起来很容易：

但是，这只适用于没有 URL 参数的 URL。例如，我可以http://example.com/test/xyz.html正常下载，但是当我尝试下载http://example.com/test?page=xyz时，结果是 400 Bad Request 消息，服务器日志中包含以下内容（运行 Apache 2.2）：

我的第一个想法是摘要规范要求从摘要哈希中删除 URL 参数——但是从传递给的 URL 中删除参数credentialCache.Add()并没有改变任何事情。所以它一定是相反的，.NET 框架中的某个地方错误地从 URL 中删除了参数。

与Digest::SHA1相比，使用Digest::SHA是否有任何优势，反之亦然？两者似乎都得到了维护，但我看不出 Digest::SHA1 存在的理由。Digest::SHA

是否可以采取像这样创建的摘要

然后转换$digest为base10（而不是十六进制或base64？）或者你可以将一个hexdigest分成5块然后将它们转换为整数？那行得通吗？试图想出一种将摘要存储为整数的方法（是的，我知道有人会认为我疯了或愚蠢，可能两者兼而有之）。

更新

从理论上讲，我应该能够根据需要将最终编码的整数输出并反转并重新编码为十六进制和 base64。

我在 glassfish v3.0.1 b22 中使用 jdbcRealm 来保证安全。它被设置为使用我的数据库中的 USER 表通过以下博客进行身份验证：http: //blogs.oracle.com/foo/entry/mort_learns_jdbc_realm_authentication. 如果我将摘要算法保留为纯文本，我可以正常工作。但是，当我尝试将 SHA-256 用于摘要算法时，它停止工作。我所做的是在 Glassfish - Security - Realm - jdbcRealm - 摘要中指定我想要 SHA-256（我只是在摘要字段中输入 SHA-256）。然后我编写了一个简单的 Java 程序来将密码文本转换为 SHA-256 哈希。然后，我将该哈希粘贴到数据库中的密码字段中。顺便说一句，密码字段是类型 varchar(30)。我不能再登录了。我注意到我的简单 Java 程序每次为同一个文本字段生成不同的哈希值的一件事。

下面是我的简单java程序：

我正在尝试使用 WS-UsernameToken 规范对 SOAP 请求进行身份验证，但目标设备始终拒绝访问。我的非工作请求看起来像这样。（我试图散列的密码是system。）

我正在寻找的是一个类似的请求示例，但具有实际有效的身份验证令牌。例如，如果您有使用这些令牌的 gSOAP 应用程序，并且可以生成请求并在此处发布结果，我将非常感激。