问题标签 [www-authenticate]

我目前知道的微软使用的两个 WWW-Authenticate 添加是

• NTLM
• 谈判

如果从服务器发送 Negotiate，将根据一组条件使用 Kerberos

• 内网区
• 使用主机名而不是 IP 访问服务器
• 已启用 IE 中的集成 Windows 身份验证，主机在 Firefox 中受信任
• 服务器不是浏览器本地的
• 客户端的 Kerberos 系统通过域控制器的身份验证

然后将在服务器和客户端之间尝试 Kerberos，如果不满足上述条件，则将尝试 NTLM。

我的问题是，服务器是否有某种方法可以指示不应发送 NTLM？我目前通过跟踪会话中的请求来处理这个问题，如果收到 NTLM 消息，它会在会话的剩余时间内禁用 Kerberos 和 WWW-Authenticate。

我注意到一旦 Firefox 弹出一个模式来响应 HTTP 响应中的 WWW-Authenticate 标头。然后，Firefox 会保存用户名/密码，直到 Firefox 关闭。Web Developer插件使有开发意识的人可以注销。但是应该向浏览器发送什么 HTTP 消息以丢失这些缓存的凭据？

我正在尝试查看需要身份验证的 Android 应用程序的网页并收到以下消息：

----- Android webView 错误启动--------

“您无权使用您提供的凭据查看此目录或页面，因为您的 Web 浏览器正在发送 Web 服务器未配置为接受的 WWW.Authenticate 标头字段”

HTTP 错误 401.2 = 未经授权：由于服务器配置，访问被拒绝。互联网信息服务 (IIS)。

----- Android webView报错结束--------

在 Android 端，我有以下内容：-------- 代码片段开始 -----

public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); 设置内容视图（R.layout.main）；

}

-------- 代码片段结束 --------

在 IIS 6.0 方面

在“身份验证方法”对话框中取消选中：“启用匿名访问”选中：“集成 Windows 身份验证”

使用“常规浏览器”时，如果我导航到“http://123.example.com/admin/default.aspx”，我会看到一个对话框，询问用户名和密码。输入后，我可以访问该站点。这是我在 Windows 中设置的用户名/密码。

然而，当使用上面的“代码片段”时，我得到上面的“错误”，使用相同的用户名和密码。

您能否提供建议或以其他方式引导我朝着“正确”的方向前进。

我正在.Net 中编写一个通过HTTP 与服务器通信的客户端应用程序。

在 NTLM 和 Kerberos 授权的情况下，我需要设置不同的请求缓冲选项。

如何确定是否使用了 NTLM 或 Kerberos？是否有可能以某种方式解码“WWW-Authenticate: Negotiate”标头？

我从朋友那里听说，WWW-Authenticate可以在远程服务器上的恶意 php 文件中明确定义标头，并使用图像 mimetypeimage/jpeg或image/png.

假设情况

假设这个文件是malicious.com/image.php，我在某个任意论坛上将此图像添加到我的论坛签名中。具体来说，gaiaonline.com。当其他访问者访问包含我的帖子的线程时，他们会看到WWW-Authenticate标题给出的登录提示。在访问者/受害者输入他们的用户名/密码后，黑客可以将其存储在他们的远程服务器上，通过电子邮件发送给自己等。

恶意代码：<img src="malicious.com/image.php" />包含WWW-Authenticate标头。可通过标准发帖/BBcode 输入。

如何解决这个问题？我认为可以为此提供跨域访问。

我希望用户能够通过 HTTP Basic 身份验证模式登录。

问题是我还希望他们能够再次注销 - 奇怪的是浏览器似乎不支持这一点。

这被认为是一种社交黑客风险 - 用户将他们的机器解锁并打开他们的浏览器，其他人可以轻松地以他们的身份访问该网站。请注意，仅关闭浏览器选项卡不足以重置令牌，因此用户可能很容易错过。

所以我想出了一个解决方法，但它完全是一个难题：

1）将它们重定向到注销页面

2) 在该页面上触发一个脚本以 ajax 加载另一个具有虚拟凭据的页面：

3）第一次应该总是返回 401（强制传递新的凭证），然后只接受虚拟凭证：

4) 现在随机字符串凭据已被浏览器接受并缓存。当他们访问另一个页面时，它会尝试使用它们，失败，然后提示正确的页面。

请注意，我的代码示例使用的是 jQuery 和 ASP.Net MVC，但任何技术堆栈都应该可以实现同样的事情。

在 IE6 及更高版本中还有另一种方法可以做到这一点：

但是，这会清除所有身份验证 - 他们从我的网站注销，他们也从他们的电子邮件中注销。所以就这样了。

有没有更好的方法来做到这一点？

我已经看到了其他 问题，但它们已经 2 岁了 - 现在在 IE9、FX4、Chrome 等中有没有更好的方法？

如果没有更好的方法可以做到这一点，是否可以依靠这个结块？有什么办法让它更健壮吗？

我正在使用以下代码连接到手机以发送 SMS 消息：

我可以连接手机，但无法发送消息。它没有给我一个错误，所以我不确定从哪里开始调试。

我的代码有什么问题我没有看到吗？

登录此 url 后www.example.com，如果我www从地址栏中删除扩展名，则登录详细信息值不会按会话保留。

I'm trying to programmatically connect to Microsoft SSRS programmatically. I would assume that this would have to be done using the www-authentication http header in some way or another, however I'm not exactly sure.

I'm doing this because I'm having issues with logging into SSRS as an anonymous web user. clients shouldn't be prompted for a username and password.

Assuming I am on the right path, once logged in, the PHP should act as a relay between SSRS as a client (the user browses SSRS through the PHP page).

If there are any other ways to get this working, please shout!

This is how far I've gotten:

With output being:

我有一个使用基于表单的身份验证的网络应用程序。当 AJAX 请求由于会话超时而失败时，我需要发送适当的通知。看起来我可以发送：

• 403 Forbidden，但这意味着“授权无济于事”，这是错误的。
• 401 Unauthorized，但响应“必须包含 WWW-Authenticate 标头字段”，并且在使用基于表单的身份验证时有关该值的确切值的信息是有限的。

当 AJAX 请求由于用户未通过身份验证而失败时，什么是适当的响应？