问题标签 [http-authentication]

我用 C++ 编写的基于 Windows 的应用程序（基本上是一个 HTTP/1.1 代理服务器）监听来自不同用户的请求。目前它能够发送 407 基本挑战，并处理来自标头的响应。我知道我必须修改质询标头，以便客户端浏览器做出基于 NTLM 的响应以进行身份​​验证。但我的问题是 - 如何为 407 身份验证质询生成正确的令牌、随机数等，然后如何验证收到的响应是否正确？最后，如果可能，我想记录客户端的用户名和其他 LDAP/ADS 属性。

请善待，如果已经有任何讨论类似问题的线程，请将我重定向到正确的帖子。大多数关于 WWW 的研究只引导我进行客户端编程，很少或几乎没有——因为必须在 HTTP 服务器中完成编码。

你们这里的所有伟大的黑客，提前非常感谢。

我正在开发的工具会做类似于你加入 Facebook 时的事情，他们会询问你的 GMail 用户名和密码，然后他们可以获取你所有的联系人。

但是我的工具不使用浏览器，因此很难获得正确的标题。我假设 Google 应用程序（Orkut）只检查我的 Cookie 和身份（ip、机器名称、用户代理）作为身份验证方法。在这种情况下，我只需要获取正确的 cookie。

我尝试使用参数 Passwd=realPasswordHere&Email=mymail@gmail.com调用https://www.google.com/accounts/ServiceLoginAuth?service=orkut 。但响应是带有 Set-Cookie 的类似 HTML：GALX=A9iBuq7y5xU;Path=/accounts;Secure

这些cookies都不是真的。你自己试过吗？你知道怎么做吗？你见过一个开源项目吗？

我无法让我的机器人登录到 Intranet 上的 MediaWiki 安装。我相信这是由于 http 身份验证保护了 wiki。

事实：

1. wiki 根目录是：https ://local.example.com/mywiki/
2. 使用 Web 浏览器访问 wiki 时，会弹出一个要求提供企业凭据的弹出窗口（我假设这是基本访问身份验证）

这就是我的 user-config.py 中的内容：

这就是我在 mywiki_family.py 中的内容：

当我执行 login.py -v -v 时，我得到这个：

（我不确定为什么它有 'local.example.com/w' 而不是 '/mywiki'。）

我认为它可能正在尝试对 example.com 而不是 example.com/wiki 进行身份验证，因此我将身份验证行更改为：

但后来我从 IIS 收到 HTTP 401.2 错误：

您无权使用您提供的凭据查看此目录或页面，因为您的 Web 浏览器正在发送 Web 服务器未配置为接受的 WWW-Authenticate 标头字段。

任何有关如何使这项工作的帮助将不胜感激。

更新修复我的家庭档案后，它现在说：

获取站点 mywiki:en 的信息（'http 错误'、401、'未授权'、）警告：无法打开' https://local.example.com/mywiki/index.php?title=Non-existing_page&action=edit&useskin=单书'. 也许服务器或您的连接已关闭。1 分钟后重试...

我查看了计划 urllib2.ulropen 调用中的 HTTP 标头，它使用的是 WWW-Authenticate: Negotiate WWW-Authenticate: NTLM。我猜是 urllib2，因此 pywikipedia 不支持这个？

更新添加了一个美味的赏金以帮助使其正常工作。我可以使用 python-ntlm 进行身份验证。如何将其集成到 pywikipedia 中？

我刚刚从使用 php5isapi.dll 的 PHP 5.2.3 迁移到使用 FastCGI 和 php-cgi.exe 的 PHP 5.3.0。在这个站点上，我有一些用于 windows/ntlm/http 身份验证的钩子，如下所示：

这在带有 isapi 的 PHP 5.2.3 下工作得很好。现在我已经转移到 IIS6 上的 FastCGI，它坏了。它对我有用，但我在服务器上有管理员。没有管理员的人（大多数人）会看到以下一些变体：

我尝试过浏览文档和日志文件，但似乎没有取得任何进展。我实际上并不希望使用远程用户名来访问我的 .php 文件，我只想获取名称并与我的数据库匹配。anon 用户仍然应该是执行实际 php 的用户。

有什么线索吗？

我想设置 App Engine 开发服务器，以便其他人可以使用它进行预览。

在此之前我真正想做的是为从该站点提供的任何 URL 启用 HTTP 身份验证。我不希望任何人在未通过该阶段的情况下访问该服务。当然，我可以在我正在开发的应用程序中构建自己的 HTTP 身份验证，但这不是一个完美的解决方案，因为在部署应用程序时我不需要该功能。

有什么好的方法可以解决吗？

我已经开发了一种服务器资源管理器作为我们 Web 应用程序的模块，它实际上工作得很好。我正在对其进行一些改进，但有一个问题我真的不知道如何解决。

资源管理器主要用于从指定文件夹和子文件夹中选择图片。由于一些学校担心在其机构之外分发图片，因此我们为他们提供了一个选项，如果他们愿意，可以使用 .htaccess（实际上是通过 Web 接口设置 .htaccess）来保护他们的图片。

当我尝试访问受 .htaccess 保护的文件夹时，系统会提示我为该文件夹中的每张图片输入密码。值得注意的是，老师们往往会在每个重大事件上做 100+ 张图片，并且喜欢把它塞进一个文件夹中，因此浏览器打开 100+ 个对话框实际上并不罕见。

我们在后端运行 Perl，所以我认为我可以在将内容传递给 jQuery 之前检查给定文件夹是否受到保护。问题是，图像也可以通过父文件夹中的 .htaccess 来保护。

在分发图片之前，是否有任何安全的方法来检查外人是否可以访问这些图片（或文件，以保持其通用性并为其他用途开放）？

编辑 - 添加 .htaccess 文件
## OLEFA AUTH START ##
AuthType Basic
AuthName "192.168.1.120/resources/images/accesstest"
AuthUserFile /home/mike/workspace/olefa//resources/images/accesstest/.htpasswd
需要有效用户
## OLEFA 身份验证结束 ##

我有一个在 Panther、Tiger 和 Leopard 系统上运行的程序，并使用以下方法进行 NSURLConnection 身份验证（“encodedUserPass”是带有单词 Basic 后跟 base64 编码用户：pass 的身份验证字符串）

...稍后...在 didReceiveAuthenticationChallenge

这在 Panther 和 Leopard 系统上运行良好，但在 Tiger 上完全失败。奇怪的是，即使在 Panther 和 Leopard 上，通常也会调用“didReceiveAuthenticationChallenge”（即，手动设置标头似乎不起作用）。

在 Tiger 上，didReceiveAuthenticationChallenge 总是被调用，尝试如上所示响应，然后再次调用失败。

两个问题：（i）为什么手动设置标题不起作用？(2) 为什么上面显示的方法在 Tiger (10.4) 上失败？

稍后更新：

经过一番思考，我意识到我的 base64 编码方法一定有问题，并且有：我没有附加等号来使 base64 字符串达到 4 个字符的倍数。我解决了

现在该程序适用于所有三个平台。所以问题（i）得到了回答：手动设置标题不起作用，因为我没有用等号填充。

但是，问题 (ii) 仍然存在：为什么我不能在 Tiger 中成功使用 didReceiveAuthenticationChallenge？

最近我在一篇基本的身份验证文章中遇到了这个词。网络上的 base64 明文 usrname 和密码是什么意思？

谢谢

我很想知道在 Apache 或 lighttpd 或 nginx 等网络服务器上使用 HTTP Basic Auth 对性能有何影响。我想瓶颈是服务器实际读取文件以验证用户身份。在我看来，读取文件以验证用户的成本与该文件中的用户数量成正比。

我的问题是：
1.是否存在特定数量的用户，通过文件的基本身份验证开始急剧下降，还是与文件中的用户数量呈线性关系？
2. 鉴于 http 的无状态特性，如果用户已通过网络服务器对一个请求使用 HTTP Basic Auth 进行身份验证：
- 它是否只是在每个请求上转发凭据，并且网络服务器每次都必须解析密码文件以确定是否这是来自有效用户的请求？
或者
- 获得类似令牌的东西，它在后续请求的 http 标头中使用，允许服务器避免再次解析密码文件？

提前致谢

我的梦想是能够启动一个标准的 AMI，加载一个小脚本并最终得到一个正确配置的服务器实例。

部分原因是我想在 S3 中有一个私人 yum 存储库，其中包含一些专有代码。

似乎 S3 希望您要么公开，要么使用 AMZN 自己的特殊身份验证方式。

有什么方法可以让我在 S3 中使用标准 HTTPS + Basic 或 Digest auth？我说的是对 S3 的直接引用，而不是通过网络服务器访问 S3。

如果答案是“不”，有没有人考虑过为 yum 添加 AWS Auth 支持？