我阅读了有关摘要认证的所有帖子,我正在尝试,但我有任何问题,我有一个实施摘要认证的restlet,并使用javascript api我正在尝试进行身份验证。
首先,我对服务器执行xmlhttprequest POST(从file://到localhost:8111,因此我遇到了CORS问题但是已经解决了),以及服务器响应401和WWW-Authenticate标头这样:
WWW-Authenticate:Digest realm="Guard", domain="/", nonce="MTMzOTA5Mjk1NTE2NDo0NzY2NjJiOTgyMjE1ZDc0OWU3NzM5MTkzMWNjNGQzNw==", algorithm=MD5, qop="auth"
所以我采用这个标题并应用身份验证摘要算法: 首先创建2个变量,“cnonce”和“nc”:
tokensObj["cnonce"] = 'bd5fd9b093dccaa1'; (invented)
tokensObj["nc"] = '00000001';
我在我的文字对象中创建'uri'参数(在服务器响应中有一个“域”:?)我取'domain'的值并放入我对象的'uri'键。
之后,我做了算法:
var HA1 = MD5("login:Guard:mypassword");
var HA2 = MD5("POST:/");
var authResponse = MD5(HA1 + ':' +
unquotes(tokensObj["nonce"]) +
':' +
tokensObj["nc"] +
':' +
tokensObj["cnonce"] +
':' +
unquotes(tokensObj["qop"]) +
':' +
HA2);
var responseContentHeader = 'Digest username:"login"' +', realm=' + tokensObj["realm"] +
', nonce=' + tokensObj["nonce"] +
', uri=' + tokensObj["domain"] +
', algorithm=' + tokensObj["algorithm"] +
', response="' + authResponse + '"' +
', qop=' + unquotes(tokensObj["qop"]) +
', nc=' + tokensObj["nc"] +
', cnonce="' + tokensObj["cnonce"] + '"';
我做了setRequestHeader(“Authorization”,responseContentHeader); 因此,发送到服务器的最终标头是:
Authorization:Digest username:"login", realm="Guard", nonce="7d0c753c2fb4cdc9480403547952f1", uri="/", algorithm=MD5, response="e9d8ad8f04e42672f2c21d70257c1072", qop=auth, nc=00000001, cnonce="bd5fd9b093dccaa1"
但不起作用,服务器再次返回401,所有CORS标头都设置为ok,因此不是问题,服务器认证摘要已经过测试,使用Chrome登录并且标题授权它是相同的我的(显然nonce是不同的)。
有人似乎有什么事我想去? 谢谢
答案 0 :(得分:3)
错误是:
Authorization:Digest username="login", realm="Guard", nonce="7d0c753c2fb4cdc9480403547952f1", uri="/", algorithm=MD5, response="e9d8ad8f04e42672f2c21d70257c1072", qop=auth, nc=00000001, cnonce="bd5fd9b093dccaa1"