一次性 nonce http 摘要认证

【问题标题】:One time nonce http digest authentication一次性 nonce http 摘要认证
【发布时间】:2019-07-30 12:23:20
【问题描述】:

我尝试为 HTTP 摘要身份验证过程实现一次性无。首先,我知道身份验证并不完全安全。请不要告诉我使用别的东西。身份验证过程按预期工作。当用户身份验证成功时,我会在下一个 nonce 后面附加一个 http Authentication-Info 字段。在这种情况下,Firefox 的浏览器不会使用这个 nonce 来进行进一步的请求。

Authentication-Info: nextnonce="06e8043d3fb8c26156829c4b55afd13040"

为什么浏览器不使用我的新随机数来处理未来的请求?它仍然使用旧的现在无效的!

RFC7616 描述了标头字段。 https://www.rfc-editor.org/rfc/rfc7616#section-3.5

nextnonce参数的值是服务器的nonce 希望客户端用于将来的身份验证响应。 服务器可以发送 Authentication-Info 头域 nextnonce 字段作为实现一次性随机数的一种手段或 否则改变随机数。如果存在 nextnonce 字段,...

RFC2617 描述了第 3.2.3 节中的语法

https://www.ietf.org/rfc/rfc2617.txt

[编辑]

Firefox 是否可能不支持此功能。如果我在这里搜索 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/WWW-Authenticate 对于标题字段我找不到结果。

但它在这里被列为标准标题标志: https://www.iana.org/assignments/message-headers/message-headers.xhtml

【问题讨论】:

    标签: http authentication nonce


    【解决方案1】:

    Firefox 不支持nextnonce,甚至不支持Authentication-Info 标头。

    "next nonce digest auth test fails" 的 bug 已于 18 年前打开,至今仍未修复。

    我下载了最新版Firefox 65.0.1的source code并搜索了项目。 “Authentication-Info”仅作为评论出现在 netwerk/protocol/http/nsHttpDigestAuth.cpp 中,其他地方没有。

    【讨论】:

      猜你喜欢
      • 2020-09-17
      • 1970-01-01
      • 1970-01-01
      • 2011-05-03
      • 2013-03-27
      • 1970-01-01
      • 2017-10-12
      • 1970-01-01
      • 2012-07-18
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode