我尝试对HTTP摘要认证过程实施一次一次性认证。首先,我知道身份验证不是完全安全的事实。请不要告诉我使用其他东西。身份验证过程正在按预期方式工作。当用户成功验证身份后,我将在下一个随机数后附加一个http Authentication-Info字段。在这种情况下,浏览器Firefox不会使用此随机数进行进一步的请求。
Authentication-Info: nextnonce="06e8043d3fb8c26156829c4b55afd13040"
为什么浏览器不将我的新随机数用于将来的请求?它仍然使用旧的现在无效的!
RFC7616描述了标头字段。 https://tools.ietf.org/html/rfc7616#section-3.5
nextnonce参数的值是服务器的随机数 希望客户端将其用于将来的身份验证响应。 服务器可以发送带有以下内容的Authentication-Info标头字段: nextnonce字段是一种实现一次性随机数的方法,或者 否则改变随机数。如果存在nextnonce字段,则...
RFC2617描述了3.2.3节中的语法
https://www.ietf.org/rfc/rfc2617.txt
[编辑]
firefox是否可能不支持此功能。如果我在这里搜索 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/WWW-Authenticate 对于标题字段,我找不到结果。
但是它在此处被列为标准标题标志: https://www.iana.org/assignments/message-headers/message-headers.xhtml
答案 0 :(得分:1)
nextnonce,甚至Authentication-Info标头也不支持。
错误"next nonce digest auth test fails"于18年前打开,至今尚未修复。
我下载了最新版Firefox 65.0.1的source code并搜索了该项目。 “身份验证信息”仅作为注释出现在netwerk/protocol/http/nsHttpDigestAuth.cpp中,其他任何地方。