问题标签 [http-authentication]

我有一个 .NET 客户端应用程序，它需要使用两个不同的用户凭据与服务器进行通信。假设应用程序运行两个线程。开始运行时，每个线程都会发送用户和密码以进行身份​​验证，然后服务器会在 http 会话中存储一个 cookie。随后的调用发送身份验证 cookie 而不是用户凭据。

我们有两个用于同一进程的 cookie。wininet 如何“知道”为每个线程发送适当的 cookie？

wininet 是否管理每个线程的 cookie 集合？每个http会话？每个进程？

谢谢

我正在尝试从 Adob​​e AIR 应用程序中请求需要基本授权标头的 HTTP 资源。我尝试手动将标头添加到请求中，以及使用 setRemoteCredentials() 方法设置它们，但无济于事。

这是代码：

但是，仍然会弹出一个标准的基本身份验证对话框，提示用户输入用户名和密码。我有一种感觉，我这样做的方式不对，但我能找到的所有信息（Flex 文档、博客、Google 等）要么没有用，要么太模糊，无法提供帮助。

任何黑魔法，哦 Flex 大师？谢谢。

编辑：将 setRemoteCredentials() 更改为 setCredentials() 会产生以下 ActionScript 错误：

编辑：经过 Adob​​e 的一些关注，问题解决了。有关完整说明，请参阅下面的帖子。此代码适用于任意长度的 HTTP 身份验证标头。

我有一个使用 URLRequest 将文件上传到服务器的 Flex 文件上传脚本。我想添加对 http 身份验证（服务器上受密码保护的目录）的支持，但我不知道如何实现这一点 - 我假设我需要以某种方式扩展类，但我有点迷失了。

我尝试修改以下内容（用 URLRequest 替换 HTTPService），但这没有用。

我应该指出，我对 ActionScript / Flex 并不了解，尽管我已经成功地修改了上传脚本。

[编辑] - 这是我的进度更新，基于下面的答案，虽然我仍然无法让它工作：

谢谢您的帮助。我试图实现你的代码，但我没有任何运气。

我在处理经过 HTTP 身份验证的位置时遇到的一般行为是，使用 IE7 一切都很好，但在 Firefox 中，当我尝试将文件上传到服务器时，它会显示 HTTP 身份验证提示 - 即使给出正确的详细信息，也会停止上传过程。

我相信 IE7 正常的原因是浏览器和 Flash 组件共享的会话/身份验证信息 - 但是，在 Firefox 中情况并非如此，我遇到了上述行为。

这是我更新的上传功能，包含您的更改：

如上所述，无论是否修改我的功能，我似乎都遇到了相同的结果。

我还可以问一下 crossdomain.xml 应该放在哪里 - 因为我目前没有，并且不确定将它放在哪里。

elisp 中是否有一个库可以帮助获取只有在身份验证后才能通过 HTTP 重定向访问的页面数据？我刚刚开始查看 URL 库。

我们有一个 Web 服务，我们将托管在公共 Web 服务器上，并且将通过托管在医院墙壁内的 Web 服务器上的 Web 服务与其联系。我们已经编写了这两个软件，因此我们可以完全控制实现的内容。

我们希望保护两个 Web 服务器之间的通信。目前，我们唯一拥有的是公共 Web 服务器上的 https 和用于识别客户端的 guid。

我们可以支持网络级别的授权类型，但我不喜欢依赖这些类型，因为并非我们所有的客户（医院）都能做同样的事情。有些不能给我们静态IP，有些不能做VPN，所以我们不能仅仅依靠这些方法。

您正在使用或建议使用哪些技术来授权与您的 Web 服务的通信？ 我们主要关心的是阻止人们获得医院 ID（目前只是一个 GUID）并从我们的 Web 服务中获取数据，这些数据是为医院准备的。

我们将采用其他网络级别的安全措施来限制公众对我们系统的访问，但我认为软件解决方案也是必要的。

该系统尚未投入生产，但已接近开发完成。它在 .net 3.5 上用 C# 开发

FWIW 我正在考虑某种基于令牌的授权，因为我知道以前的雇主使用过类似的东西。但是，我不知道具体要查找什么或有关该主题的任何其他信息。

编辑：虽然我想使用 WCF，但目前团队中没有人（包括我自己）有任何使用它的经验，我们已经开发了 Web 服务以及与之交互的代码。所有使用 .net 2.0 方法添加的 Web 引用（来自 vs.net08，针对 .net 3.5），我们不希望完全重做。我不会说 WCF 不是一个选项，但我认为我们不会心甘情愿地选择该选项。

从性能、安全性和灵活性的角度来看，HTTP 摘要式身份验证和 SSL 有什么区别？

我正在寻找用于保护身份验证的现有 HTTP 协议，但不是随后的有效负载。我希望服务器为每个用户存储用户名、散列密码和不同的盐。

HTTP 摘要式身份验证无法满足这些要求，因为所有帐户都使用相同的盐。SSL 失败是因为它加密了整个连接。

编辑添加：

这适用于与 Web 服务对话的桌面客户端（不涉及浏览器）

我遇到了一个障碍，这与 Google Search Appliance 和 ASP 之间的身份验证有关。通常，当从 Search Appliance 请求安全页面时，Search Appliance 会请求凭据，然后使用这些凭据尝试访问安全结果。如果此尝试成功，该页面将显示在结果列表中。由于 ASP 代表客户与 Search Appliance 联系，因此它需要收集凭据并将其传递给 Search Appliance。我已经尝试了几种不同的记录方法来实现这一点，但它们似乎不起作用。以下是我尝试过的代码：

我正在设计一个 web api。我需要让用户进行身份验证。我有点犹豫是否让用户以明文形式传递他们的用户名/密码..类似于：api.mysite.com/auth.php?user=x&pass=y

我读到的另一个选项是对用户名/密码进行 Base64 编码，然后发送 HTTP 请求。那么这是否意味着在服务器端；我会 _GET['user'] 和 _GET['password'] 然后以某种方式解码它们？

这就是 twitter 所做的：http ://apiwiki.twitter.com/REST+API+Documentation#Authentication吗？

我正在研究让 IIS 在 J2EE 服务器 (JBoss) 上执行的应用程序中进行身份验证。有什么方法可以让 IIS 充当反向代理并传播代理应用程序（JBoss）的用户名和/或角色。如果可能的话，我还需要什么 IIS 版本？我有 IIS 的许可证，所以我想在 IIS 中进行，否则我更喜欢开源。

谢谢！

托马斯