Как я могу выполнить проверку подлинности с помощью HttpWebRequest?

Различные статьи (1, 2) Я обнаружил, что это выглядит достаточно просто:

WebRequest request = HttpWebRequest.Create(url);

var credentialCache = new CredentialCache();
credentialCache.Add(
  new Uri(url), // request url
  "Digest", // authentication type
  new NetworkCredential("user", "password") // credentials
);

request.Credentials = credentialCache;

Однако это работает только для URL-адресов без параметров URL. Например, я могу скачать http://example.com/test/xyz.html просто отлично, но когда я пытаюсь загрузить http://example.com/test?page=xyz, результатом будет сообщение 400 Bad Request со следующим в журналах сервера (работает Apache 2.2):

Digest: uri mismatch - </test> does not match request-uri </test?page=xyz>

Моя первая идея заключалась в том, что спецификация дайджеста требует, чтобы параметры URL были удалены из хэша дайджеста, но удаление параметра из URL-адреса, переданного в credentialCache.Add(), не изменило ничего. Так что это должно быть наоборот, и где-то в .NET Framework неправильно удаляет параметр из URL.

Ответы

Ответ 1

Вы сказали, что вы удалили параметры querystring, но попытались ли вы полностью вернуться к хосту? Каждый пример CredentialsCache.Add(), который я видел, кажется, использует только хост, а документы для список CredentialsCache.Add() параметр Uri как "uriPrefix", который, кажется, говорит.

Другими словами, попробуйте это:

Uri uri = new Uri(url);
WebRequest request = WebRequest.Create(uri);

var credentialCache = new CredentialCache(); 
credentialCache.Add( 
  new Uri(uri.GetLeftPart(UriPartial.Authority)), // request url host
  "Digest",  // authentication type 
  new NetworkCredential("user", "password") // credentials 
); 

request.Credentials = credentialCache;

Если это работает, вам также необходимо убедиться, что вы не добавляете один и тот же "авторитет" в кеш более одного раза... все запросы к одному и тому же хосту должны иметь возможность использовать одни и те же учетные данные кэша.

Ответ 2

Код, взятый из этого сообщения, отлично сработал у меня Внедрить проверку дайджеста через HttpWebRequest в С#

У меня была следующая проблема: когда я просматриваю URL-адрес канала в браузере, он запрашивает имя пользователя и пароль и отлично работает, однако ни один из приведенных выше примеров кода не работал, при проверке заголовка запроса/ответа (в средствах веб-разработчика в firefox) я мог видеть заголовок, имеющий авторизацию типа digest.

Шаг 1 Добавить:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Security.Cryptography;
using System.Text.RegularExpressions;
using System.Net;
using System.IO;

namespace NUI
{
    public class DigestAuthFixer
    {
        private static string _host;
        private static string _user;
        private static string _password;
        private static string _realm;
        private static string _nonce;
        private static string _qop;
        private static string _cnonce;
        private static DateTime _cnonceDate;
        private static int _nc;

    public DigestAuthFixer(string host, string user, string password)
    {
        // TODO: Complete member initialization
        _host = host;
        _user = user;
        _password = password;
    }

    private string CalculateMd5Hash(
        string input)
    {
        var inputBytes = Encoding.ASCII.GetBytes(input);
        var hash = MD5.Create().ComputeHash(inputBytes);
        var sb = new StringBuilder();
        foreach (var b in hash)
            sb.Append(b.ToString("x2"));
        return sb.ToString();
    }

    private string GrabHeaderVar(
        string varName,
        string header)
    {
        var regHeader = new Regex(string.Format(@"{0}=""([^""]*)""", varName));
        var matchHeader = regHeader.Match(header);
        if (matchHeader.Success)
            return matchHeader.Groups[1].Value;
        throw new ApplicationException(string.Format("Header {0} not found", varName));
    }

    private string GetDigestHeader(
        string dir)
    {
        _nc = _nc + 1;

        var ha1 = CalculateMd5Hash(string.Format("{0}:{1}:{2}", _user, _realm, _password));
        var ha2 = CalculateMd5Hash(string.Format("{0}:{1}", "GET", dir));
        var digestResponse =
            CalculateMd5Hash(string.Format("{0}:{1}:{2:00000000}:{3}:{4}:{5}", ha1, _nonce, _nc, _cnonce, _qop, ha2));

        return string.Format("Digest username=\"{0}\", realm=\"{1}\", nonce=\"{2}\", uri=\"{3}\", " +
            "algorithm=MD5, response=\"{4}\", qop={5}, nc={6:00000000}, cnonce=\"{7}\"",
            _user, _realm, _nonce, dir, digestResponse, _qop, _nc, _cnonce);
    }

    public string GrabResponse(
        string dir)
    {
        var url = _host + dir;
        var uri = new Uri(url);

        var request = (HttpWebRequest)WebRequest.Create(uri);

        // If we've got a recent Auth header, re-use it!
        if (!string.IsNullOrEmpty(_cnonce) &&
            DateTime.Now.Subtract(_cnonceDate).TotalHours < 1.0)
        {
            request.Headers.Add("Authorization", GetDigestHeader(dir));
        }

        HttpWebResponse response;
        try
        {
            response = (HttpWebResponse)request.GetResponse();
        }
        catch (WebException ex)
        {
            // Try to fix a 401 exception by adding a Authorization header
            if (ex.Response == null || ((HttpWebResponse)ex.Response).StatusCode != HttpStatusCode.Unauthorized)
                throw;

            var wwwAuthenticateHeader = ex.Response.Headers["WWW-Authenticate"];
            _realm = GrabHeaderVar("realm", wwwAuthenticateHeader);
            _nonce = GrabHeaderVar("nonce", wwwAuthenticateHeader);
            _qop = GrabHeaderVar("qop", wwwAuthenticateHeader);

            _nc = 0;
            _cnonce = new Random().Next(123400, 9999999).ToString();
            _cnonceDate = DateTime.Now;

            var request2 = (HttpWebRequest)WebRequest.Create(uri);
            request2.Headers.Add("Authorization", GetDigestHeader(dir));
            response = (HttpWebResponse)request2.GetResponse();
        }
        var reader = new StreamReader(response.GetResponseStream());
        return reader.ReadToEnd();
    }
}

}

Шаг 2: Вызов нового метода

DigestAuthFixer digest = new DigestAuthFixer(domain, username, password);
string strReturn = digest.GrabResponse(dir);

если Url: http://xyz.rss.com/folder/rss тогда домен: http://xyz.rss.com (часть домена) dir:/folder/rss (остальная часть URL-адреса)

вы также можете вернуть его как поток и использовать метод XmlDocument Load().

Ответ 3

Решение состоит в том, чтобы активировать этот параметр в apache: 

    BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On


Дополнительная информация: http://httpd.apache.org/docs/2.0/mod/mod_auth_digest.html#msie

Затем добавьте это свойство в свой код для объекта webrequest: 

    request.UserAgent = "MSIE"

он отлично работает для меня

Ответ 4

Я думаю, что второй URL-адрес указывает на динамическую страницу, и вы должны сначала вызвать его с помощью GET, чтобы получить HTML-код, а затем загрузить его. Однако нет опыта в этой области.