HTTPClient在成功之前获得两个401s(发送错误的令牌)

时间:2015-05-13 08:26:51

标签: c# .net http authorization .net-4.5

我正在尝试使用HttpClient与自托管的WebAPI客户端进行通信。使用以下代码创建客户端:

HttpClientHandler clientHandler = new HttpClientHandler()
{
    UseDefaultCredentials = true,
    PreAuthenticate = true
};
var client = new HttpClient(clientHandler);
我们在服务器端设置了

HttpListener listener = (HttpListener)app.Properties[typeof(HttpListener).FullName];
listener.AuthenticationSchemes = AuthenticationSchemes.IntegratedWindowsAuthentication;

Startup文件中。

问题是我在处理请求之前得到两个(或一个预先认证后的一个)401错误。

在提琴手中,序列看起来像这样:

First request:
Authorization: Negotiate TlRMTVNTUAABAAAAl7II4gcABwAxAAAACQAJACgAAAAGAbEdAAAAD1dTMTEzLTEyMFNXVC0xMTM=
Answer:
WWW-Authenticate: Negotiate TlRMTVNTUAACAAAADgAOADgAAAAVwonisrQOBMTKHhKwCkgCAAAAAJoAmgBGAAAABgGxHQAAAA9TAFcAVAAtADEAMQAzAAIADgBTAFcAVAAtADEAMQAzAAEAEgBXAFMAMQAxADMALQAxADIAMAAEABYAcwB3AHQALQAxADEAMwAuAGwAbwBjAAMAKgBXAFMAMQAxADMALQAxADIAMAAuAHMAdwB0AC0AMQAxADMALgBsAG8AYwAFABYAQQBMAEQASQA5ADkAOQAuAGwAbwBjAAcACACkGh0XVY3QAQAAAAA=

Second request (succeeds):
Authorization: Negotiate TlRMTVNTUAADAAAAAAAAAFgAAAAAAAAAWAAAAAAAAABYAAAAAAAAAFgAAAAAAAAAWAAAAAAAAABYAAAAFcKI4gYBsR0AAAAPfJafWSuLL0sAXYtWCynOqg==

那么为什么我的客户端不是第一次发送正确的授权令牌,但总是需要这种两次方法?

3 个答案:

答案 0 :(得分:15)

您遇到的情况很正常,这就是NTLM身份验证方案的工作原理。

1: C  --> S   GET ...

2: C <--  S   401 Unauthorized
              WWW-Authenticate: NTLM

3: C  --> S   GET ...
              Authorization: NTLM <base64-encoded type-1-message>

4: C <--  S   401 Unauthorized
              WWW-Authenticate: NTLM <base64-encoded type-2-message>

5: C  --> S   GET ...
              Authorization: NTLM <base64-encoded type-3-message>

6: C <--  S   200 Ok
  1. 客户端向服务器发送GET请求。
  2. 由于您需要通过身份验证才能访问请求的资源,服务器会发回401 Unathorized响应,并在WWW-Authenticate标头中通知客户端它支持NTLM身份验证。因此,您可以获得第一个401响应代码。
  3. 客户端在Authorization标头中将域名和用户名发送给服务器。请注意,仅基于这些信息,客户端无法进行身份验证。
  4. 服务器向客户端发送质询。它是一个随机生成的数字,称为 nonce 。这是您获得第二个401响应代码的地方。
  5. 客户端使用密码的哈希值发送回服务器质询的响应,以加密随机数。
  6. 服务器将客户端的用户名,发送给客户端的质询以及从客户端收到的响应发送到域控制器。使用用户名,域控制器检索用户密码的哈希值并使用它加密质询。如果结果与客户端发送的响应匹配,则客户端将进行身份验证,服务器会将200响应代码和请求的资源发送回客户端。

答案 1 :(得分:2)

面对类似的问题,经过大量的回答,其中没有一个有效。以下工作,并没有提出两个401&#39>:

var credential = new NetworkCredential("username", "password", "domainname");
var myCache = new CredentialCache();

// Add the target Uri to the CredentialCache with credential object
myCache.Add(new Uri("http://targeturi/"), "NTLM", credential);

// Create an HttpClientHandler to add some settings
var handler = new HttpClientHandler();
handler.AllowAutoRedirect = true;
handler.Credentials = myCache;

// Create an HttpClient with the handler object
httpClient = new HttpClient(handler);

// Wait to get the reponse, and you can use the reponse in your code
HttpResponseMessage response = await httpClient.GetAsync(resourceUri);

Source

答案 2 :(得分:0)

默认行为,它仅在收到HTTP 401 Not Authorized响应后才发送凭据。

手动添加凭据标头似乎是最佳解决方案。

More details in this post

相关问题
最新问题