Дайджест-аутентификация с клиентом Java и Apache: всегда 401 неавторизован

Question

Дайджест-аутентификация с клиентом Java и Apache: всегда 401 неавторизован

Я пытаюсь реализовать дайджест-аутентификацию с помощью HTTP-клиента, но в данный момент это не работает.

Может кто-нибудь проверить, правильный ли этот код? Для тестирования я использую http://httpbin.org/, но все, что я получаю, это HTTP/1.1 401 Unauthorized,

Вот пример кода:

private static void doDigestAuth() throws ClientProtocolException,
    IOException,
    AuthenticationException,
    MalformedChallengeException
{

    HttpHost target = new HttpHost("httpbin.org", 80, "http");
    CredentialsProvider credsProvider = new BasicCredentialsProvider();
    credsProvider.setCredentials(new AuthScope(target.getHostName(), target.getPort()), new UsernamePasswordCredentials(
        "user", "passwd"));
    CloseableHttpClient httpclient = HttpClients.custom().setDefaultCredentialsProvider(credsProvider).build();
    try {

        HttpGet httpget = new HttpGet("http://httpbin.org/digest-auth/auth/user/passwd");

        // Create AuthCache instance
        AuthCache authCache = new BasicAuthCache();
        // Generate DIGEST scheme object, initialize it and add it to the local
        // auth cache
        DigestScheme digestAuth = new DigestScheme();

        // Suppose we already know the realm name
        digestAuth.overrideParamter("realm", "me@kennethreitz.com");
        // // Suppose we already know the expected nonce value
        // digestAuth.overrideParamter("nonce", Long.toString(new SecureRandom().nextLong(), 36));
        // qop-value = "auth" | "auth-int" | token
        digestAuth.overrideParamter("qop", "auth");
        authCache.put(target, digestAuth);

        // Add AuthCache to the execution context
        HttpClientContext context = HttpClientContext.create();
        context.setCredentialsProvider(credsProvider);
        // context.setAuthSchemeRegistry(authRegistry);
        context.setAuthCache(authCache);

        System.out.println("Executing request " + httpget.getRequestLine() + " to target " + target);
        for (int i = 0; i < 3; i++) {
            CloseableHttpResponse response = httpclient.execute(httpget, context);
            try {
                System.out.println("----------------------------------------");
                System.out.println(response.getStatusLine());
                HttpEntity entity = response.getEntity();
                InputStream instream = entity.getContent();
                // Header contentCncoding = entity .getContentEncoding();
                String contentString = IOUtils.toString(instream, null);
                System.out.println("ContentString:" + contentString);
                AuthState proxyAuthState = context.getProxyAuthState();
                System.out.println("Proxy auth state: " + proxyAuthState.getState());
                System.out.println("Proxy auth scheme: " + proxyAuthState.getAuthScheme());
                System.out.println("Proxy auth credentials: " + proxyAuthState.getCredentials());
                AuthState targetAuthState = context.getTargetAuthState();
                System.out.println("Target auth state: " + targetAuthState.getState());
                System.out.println("Target auth scheme: " + targetAuthState.getAuthScheme());
                System.out.println("Target auth credentials: " + targetAuthState.getCredentials());
                EntityUtils.consume(response.getEntity());
            }
            finally {
                response.close();
            }
        }
    }
    finally {
        httpclient.close();
    }

}

4

java apache-httpclient-4.x digest-authentication

Источник

user3280180 04 дек '14 в 10:38

1 ответ

Другие вопросы по тегам java apache-httpclient-4.x digest-authentication

user3080094 06 ноя '15 в 02:01 2015-11-06 02:01 · Answer 1 · 2015-11-06 02:01

Это была проблема с cookie, как и предложил @heaphach. Журнал проводов (показан с категорией журнала org.apache.http.wire установить для отладки) показывает:
<< "Set-Cookie: fake=fake_value[\r][\n]"
но HttpClient никогда не поднимает это и не использует его во втором GET-запросе, содержащем полный заголовок "Авторизация" с дайджест-ответом. Как следствие, сервер просто игнорирует дайджест-ответ.

После того, как я обновил пример кода (также известный как пример аутентификации Preemptive DIGEST) кодом, показанным ниже (скопированный из учебника по управлению состоянием HTTP), сервер ответил "200 OK".

CookieStore cookieStore = new BasicCookieStore();
BasicClientCookie cookie = new BasicClientCookie("fake", "fake_value");
cookie.setDomain("httpbin.org");
cookie.setPath("/");
cookieStore.addCookie(cookie);
CloseableHttpClient httpclient = HttpClients.custom()
        .setDefaultCookieStore(cookieStore)
        .setDefaultCredentialsProvider(credsProvider)
        .build();

Я также натолкнулся на суть, содержащую некоторый код для вычисления "nonce", чтобы вы могли использовать
digestAuth.overrideParamter("nonce", calculateNonce());
а также org.apache.http.impl.auth.HttpAuthenticator больше не показывает сообщение об ошибке "отсутствует одноразовый номер в вызове".

public static synchronized String calculateNonce() {

    Date d = new Date();
    SimpleDateFormat f = new SimpleDateFormat("yyyy:MM:dd:hh:mm:ss");
    String fmtDate = f.format(d);
    Random rand = new Random(100000);
    Integer randomInt = rand.nextInt();
    return org.apache.commons.codec.digest.DigestUtils.md5Hex(fmtDate + randomInt.toString());
}