如何使用 HttpWebRequest 进行摘要身份验证？

Posted 2023-02-24

技术标签:

【中文标题】如何使用 HttpWebRequest 进行摘要身份验证？【英文标题】：How can I do digest authentication with HttpWebRequest? 【发布时间】：2010-07-03 18:54:00 【问题描述】：

我发现各种文章（1、2）让这看起来很简单：

WebRequest request = HttpWebRequest.Create(url);

var credentialCache = new CredentialCache();
credentialCache.Add(
  new Uri(url), // request url
  "Digest", // authentication type
  new NetworkCredential("user", "password") // credentials
);

request.Credentials = credentialCache;

但是，这仅适用于没有 URL 参数的 URL。例如，我可以下载 http://example.com/test/xyz.html 就好了，但是当我尝试下载 http://example.com/test?page=xyz 时，结果是一个 400 Bad Request 消息，服务器日志中包含以下内容（运行 Apache 2.2）：

Digest: uri mismatch - </test> does not match request-uri </test?page=xyz>

我的第一个想法是摘要规范要求从摘要哈希中删除 URL 参数——但是从传递给 credentialCache.Add() 的 URL 中删除参数并没有改变任何事情。所以它一定是相反的，在 .NET 框架中的某个地方错误地从 URL 中删除了参数。

【问题讨论】：

这里有一个类似的问题，所以我最初的搜索没有提出：***.com/questions/3109507/… 还有一个 Microsoft Connect 错误报告：connect.microsoft.com/VisualStudio/feedback/details/571052/… 上面链接的 Microsoft Connect 错误报告似乎有一个解决方法，于 6/26 发布。你试过吗？是的，这可以解决。但是，从某种意义上说，它确实是一种解决方法，因为它重新实现了 .NET Framework 的功能。我希望这只是我使用 HttpWebRequest 类的一个错误。在 Apache 的 mod_auth_digest（执行摘要式身份验证的模块）中甚至有一个 hack 来解决与 Internet Explorer 相同的问题：httpd.apache.org/docs/2.0/mod/mod_auth_digest.html#msie 【参考方案1】：

您说您删除了查询字符串参数，但您是否尝试一直回到主机？我见过的每个 CredentialsCache.Add() 示例似乎都只使用主机，CredentialsCache.Add() 的文档将 Uri 参数列为“uriPrefix”，这似乎很能说明问题。

换句话说，试试这个：

Uri uri = new Uri(url);
WebRequest request = WebRequest.Create(uri);

var credentialCache = new CredentialCache(); 
credentialCache.Add( 
  new Uri(uri.GetLeftPart(UriPartial.Authority)), // request url's host
  "Digest",  // authentication type 
  new NetworkCredential("user", "password") // credentials 
); 

request.Credentials = credentialCache;

如果这样可行，您还必须确保不会多次将相同的“权限”添加到缓存中...对同一主机的所有请求都应该能够使用相同的凭据缓存条目。

【讨论】：

奇怪，我没有遇到一个仅使用根 URI 进行身份验证的示例。无论如何，它不起作用，对不起。根据 RFC 2617 (rfc.askapache.com/rfc2617/rfc2617.html#section-3.2.2) 的第 3.2.2 节，摘要 URI 应与 HTTP 请求中的“request-uri”相同。这里有一些例子：msdn.microsoft.com/en-us/library/…、support.microsoft.com/kb/822456、blogs.msdn.com/b/buckh/archive/2004/07/28/199706.aspx（尽管这是一个“本地主机”的例子）。是的，RFC 说摘要 uri 应该匹配请求，但那是在线发送的内容，而不是存储在缓存中的内容。 CredentialCache.GetCredential() 文档 (msdn.microsoft.com/en-us/library/fy4394xd.aspx) 说“GetCredential 使用缓存中最长的匹配 URI 前缀来确定要为授权类型返回哪一组凭据。”然后它显示传递域将导致凭据用于该域下的所有资源。我明白了，你是对的，发送到服务器以验证单个请求的“digest-uri”与存储在凭证缓存中的 URI 无关。因此，在生产代码中，可以在凭证缓存中存储更高级别的 URI，例如 http://example.com/restrictedarea/，并为该路径下的所有 URI 重用缓存。反正这不影响问题。凭据已成功在缓存中查找（如果您担心的话），并且 HttpWebRequest 确实尝试对我的 Web 服务器进行身份验证（如服务器日志中所示） - 但每当请求的 URL 时使用错误的“digest-uri”附加了参数。【参考方案2】：

从这篇文章中获取的代码对我来说非常有效Implement Digest authentication via HttpWebRequest in C#

我遇到了以下问题，当我在浏览器中浏览提要 URL 时，它要求输入用户名和密码并且工作正常，但是在检查请求/响应标头时，上述任何代码示例都不起作用（在 Web 开发人员工具中在 Firefox 中）我可以看到标题具有摘要类型的授权。

第 1 步添加：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Security.Cryptography;
using System.Text.RegularExpressions;
using System.Net;
using System.IO;

namespace NUI

    public class DigestAuthFixer
    
        private static string _host;
        private static string _user;
        private static string _password;
        private static string _realm;
        private static string _nonce;
        private static string _qop;
        private static string _cnonce;
        private static DateTime _cnonceDate;
        private static int _nc;

    public DigestAuthFixer(string host, string user, string password)
    
        // TODO: Complete member initialization
        _host = host;
        _user = user;
        _password = password;
    

    private string CalculateMd5Hash(
        string input)
    
        var inputBytes = Encoding.ASCII.GetBytes(input);
        var hash = MD5.Create().ComputeHash(inputBytes);
        var sb = new StringBuilder();
        foreach (var b in hash)
            sb.Append(b.ToString("x2"));
        return sb.ToString();
    

    private string GrabHeaderVar(
        string varName,
        string header)
    
        var regHeader = new Regex(string.Format(@"0=""([^""]*)""", varName));
        var matchHeader = regHeader.Match(header);
        if (matchHeader.Success)
            return matchHeader.Groups[1].Value;
        throw new ApplicationException(string.Format("Header 0 not found", varName));
    

    private string GetDigestHeader(
        string dir)
    
        _nc = _nc + 1;

        var ha1 = CalculateMd5Hash(string.Format("0:1:2", _user, _realm, _password));
        var ha2 = CalculateMd5Hash(string.Format("0:1", "GET", dir));
        var digestResponse =
            CalculateMd5Hash(string.Format("0:1:2:00000000:3:4:5", ha1, _nonce, _nc, _cnonce, _qop, ha2));

        return string.Format("Digest username=\"0\", realm=\"1\", nonce=\"2\", uri=\"3\", " +
            "algorithm=MD5, response=\"4\", qop=5, nc=6:00000000, cnonce=\"7\"",
            _user, _realm, _nonce, dir, digestResponse, _qop, _nc, _cnonce);
    

    public string GrabResponse(
        string dir)
    
        var url = _host + dir;
        var uri = new Uri(url);

        var request = (HttpWebRequest)WebRequest.Create(uri);

        // If we've got a recent Auth header, re-use it!
        if (!string.IsNullOrEmpty(_cnonce) &&
            DateTime.Now.Subtract(_cnonceDate).TotalHours < 1.0)
        
            request.Headers.Add("Authorization", GetDigestHeader(dir));
        

        HttpWebResponse response;
        try
        
            response = (HttpWebResponse)request.GetResponse();
        
        catch (WebException ex)
        
            // Try to fix a 401 exception by adding a Authorization header
            if (ex.Response == null || ((HttpWebResponse)ex.Response).StatusCode != HttpStatusCode.Unauthorized)
                throw;

            var wwwAuthenticateHeader = ex.Response.Headers["WWW-Authenticate"];
            _realm = GrabHeaderVar("realm", wwwAuthenticateHeader);
            _nonce = GrabHeaderVar("nonce", wwwAuthenticateHeader);
            _qop = GrabHeaderVar("qop", wwwAuthenticateHeader);

            _nc = 0;
            _cnonce = new Random().Next(123400, 9999999).ToString();
            _cnonceDate = DateTime.Now;

            var request2 = (HttpWebRequest)WebRequest.Create(uri);
            request2.Headers.Add("Authorization", GetDigestHeader(dir));
            response = (HttpWebResponse)request2.GetResponse();
        
        var reader = new StreamReader(response.GetResponseStream());
        return reader.ReadToEnd();

第 2 步：调用新方法

DigestAuthFixer digest = new DigestAuthFixer(domain, username, password);
string strReturn = digest.GrabResponse(dir);

如果网址是：http://xyz.rss.com/folder/rss 然后域：http://xyz.rss.com（域部分） dir: /folder/rss （网址的其余部分）

您也可以将其作为流返回并使用 XmlDocument Load() 方法。

【讨论】：

很棒的文章。我有一个问题，我得到 var wwwAuthenticateHeader = ex.Response.Headers["WWW-Authenticate"];为null，可能是什么原因？非常感谢兄弟，我已经在这里和这个问题斗争了两天。这对我来说很好【参考方案3】：

解决办法是在apache中激活这个参数：

    BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

更多信息：http://httpd.apache.org/docs/2.0/mod/mod_auth_digest.html#msie

然后在您的代码中为 webrequest 对象添加此属性：

    request.UserAgent = "MSIE"

对我来说效果很好

【讨论】：

是的，请参阅我自己对 2010 年 7 月 21 日的原始问题的评论。只有当您控制了服务器时，这才是一个选项，而且我的应用程序必须识别它让我有点恼火不过，它本身就是 MSIE ;)【参考方案4】：

我认为第二个 URL 指向动态页面，您应该首先使用 GET 调用它以获取 HTML，然后下载它。不过没有这方面的经验。

【讨论】：

对不起，没有。如何处理 URL 完全取决于 Web 服务器，并且第一页也可以是动态的。此外，下载的内容是 HTML，下载 HTML 和下载其他内容没有区别。

以上是关于如何使用 HttpWebRequest 进行摘要身份验证？的主要内容，如果未能解决你的问题，请参考以下文章

为啥使用 HttpClient 而不是 HttpWebRequest 进行同步请求

如何异步使用 HttpWebRequest (.NET)？

[robot]送出HttpWebRequest以及接收Response(get,post)

在方法中使用Try和Catch来验证HttpWebRequest

如何使用HttpRequest对象

使用 HttpWebRequest 进行网络身份验证和网站身份验证