Заголовок авторизации для проверки подлинности дайджеста Android HttpClient «nc»

Question

Заголовок авторизации для проверки подлинности дайджеста Android HttpClient «nc»

1

Мы пытаемся отправить несколько запросов на целевой сервер в один HttpClient (один сеанс). Целевой сервер сначала будет аутентифицировать все запросы с помощью дайджест-аутентификации (на основе MD5-sess). Результат показывает, что только первый доступ является успешным. Следующие обращения отбрасываются сервером, потому что сервер рассматривает последующие обращения как повторную атаку, так как значение "nc" всегда "00000001".

Кажется, что Android HttpClient жестко закодированный заголовок авторизации дайджеста attirbute "nc" до "00000001"?

Любой способ для клиента увеличить это значение при отправке нового запроса? Благодарю.

public class HttpService {

private static final HttpService instance = new HttpService();
private HttpService() {
    client = getHttpClient();
}

public static HttpService getInstance() {
    return instance;
}

private DefaultHttpClient getHttpClient() {
    HttpParams params = new BasicHttpParams();
    HttpConnectionParams.setStaleCheckingEnabled(params, false);
    HttpConnectionParams.setConnectionTimeout(params, 15 * 1000);
    HttpConnectionParams.setSoTimeout(params, 15 * 1000);
    HttpConnectionParams.setSocketBufferSize(params, 8192);
    HttpProtocolParams.setUserAgent(params, USER_AGENT);

    SchemeRegistry schemeRegistry = new SchemeRegistry();
    Scheme httpScheme = new Scheme("http", PlainSocketFactory.getSocketFactory(), 80);
    Scheme httpsScheme = new Scheme("https", SSLCertificateSocketFactory.getHttpSocketFactory(30 * 1000, null), 443);
    schemeRegistry.register(httpScheme);
    schemeRegistry.register(httpsScheme);
    ClientConnectionManager manager = new ThreadSafeClientConnManager(params, schemeRegistry);

    //create client
    DefaultHttpClient httpClient = new DefaultHttpClient(manager, params);

    httpClient.getCredentialsProvider().setCredentials(new AuthScope(address, port),
                new UsernamePasswordCredentials(username, password));
}

}

lyobwon 23 март 2012, в 08:44

Источник

0

Как вы инициализируете свой HttpClient? Опубликовать код
Nikolay Elenkov 23 март 2012, в 08:02
0

Инициализация очень распространена. Я добавляю пример кода в оригинальный пост. Спасибо
lyobwon 23 март 2012, в 08:31

Теги:

android

httpclient

digest-authentication

nonce

2 ответа

Ещё вопросы

Как вы инициализируете свой HttpClient? Опубликовать код
Инициализация очень распространена. Я добавляю пример кода в оригинальный пост. Спасибо

oleg · Answer 1 · 2012-03-23T07-33-00.000Z

Android поставляется с чрезвычайно устаревшей (pre-BETA) вилкой Apache HttpClient. В версии запаса HttpClient произошло огромное количество изменений с 4,0 ALPHA, также в области дайджест-дайджест.

Лучшее, что вы можете сделать, это скопировать DigestScheme из версии запаса Apache HttpClient и настроить приложение на использование копии вместо реализации по умолчанию.

http://svn.apache.org/repos/asf/httpcomponents/httpclient/trunk/httpclient/src/main/java/org/apache/http/impl/auth/DigestScheme.java

Для этого вам придется зарегистрировать собственный экземпляр DigestSchemeFactory с реестром схем auth.

http://svn.apache.org/repos/asf/httpcomponents/httpclient/trunk/httpclient/src/main/java/org/apache/http/impl/auth/DigestSchemeFactory.java

Хорошо, что это исправлено. Другой вариант: изменить имя пакета Apache HttpClient с помощью jarjar, упаковать его вместе с приложением и вообще не использовать систему Android.
@Nikolay: Скорее всего, будет повторная версия Apache HttpClient 4.1 для Android, которая должна быть полностью совместимой с API заменой для версии, поставляемой Google.
Спасибо, приятно знать. Ему все еще нужно будет использовать другой корневой пакет, так что, вероятно, потребуется немного больше работы, чем бросить его в банку. Тем не менее, я, например, заменю свой код, как только он будет выпущен.
Спасибо вам обоим. Здесь есть перепакованный Apache HttpClient 4.1 для Android здесь: code.google.com/p/httpclientandroidlib .

Nikolay Elenkov · Answer 2 · 2012-03-23T06-11-00.000Z

Кажется, вы правы. Это из Digest.java:

//TODO: supply a real nonce-count, currently a server will interprete a repeated request as a replay
private static final String NC = "00000001"; //nonce-count is always 1

Вы должны указать ошибку на странице http://b.android.com. У вас есть несколько вариантов:

вычислить дайджест и создать заголовок самостоятельно, а затем установить его для каждого запроса. Вы можете добавить HttpRequestInterceptor чтобы сделать эту автономию (не устанавливайте учетные данные поставщику учетных данных)
Схемы аутентификации AFAIK должны быть подключаемыми, поэтому правильно выполните аудит дайджест и настройте своего клиента для его использования.
используйте другую клиентскую библиотеку HTTP.

EDIT: поскольку он исправлен в версии запаса, есть еще одна альтернатива:

Другая альтернатива:

изменить имя пакета Apache HttpClient с помощью jarjar, упаковать его с помощью приложения и вообще не использовать систему Android.