6
我阅读所有关于摘要身份验证的帖子,我试图但我有任何问题,我有一个restlet与摘要身份验证实施,并与我试图验证的JavaScript API。Javascript摘要手动身份验证
首先,我做xmlhttprequest POST到服务器(从file://到localhost:8111,所以我有CORS问题但已解决),以及服务器响应401和WWW-Authenticate头与此:
WWW-Authenticate:Digest realm="Guard", domain="/", nonce="MTMzOTA5Mjk1NTE2NDo0NzY2NjJiOTgyMjE1ZDc0OWU3NzM5MTkzMWNjNGQzNw==", algorithm=MD5, qop="auth"
,所以我借这个标题和应用认证摘要算法: 首先创建2个瓦尔,“cnonce”和“NC”:
tokensObj["cnonce"] = 'bd5fd9b093dccaa1'; (invented)
tokensObj["nc"] = '00000001';
我在文本对象创建'uri'参数(在服务器响应中有一个“do”主“:?)我把'域'的值放在我的对象的'uri'键中。
之后,i执行的算法:
var HA1 = MD5("login:Guard:mypassword");
var HA2 = MD5("POST:/");
var authResponse = MD5(HA1 + ':' +
unquotes(tokensObj["nonce"]) +
':' +
tokensObj["nc"] +
':' +
tokensObj["cnonce"] +
':' +
unquotes(tokensObj["qop"]) +
':' +
HA2);
var responseContentHeader = 'Digest username:"login"' +', realm=' + tokensObj["realm"] +
', nonce=' + tokensObj["nonce"] +
', uri=' + tokensObj["domain"] +
', algorithm=' + tokensObj["algorithm"] +
', response="' + authResponse + '"' +
', qop=' + unquotes(tokensObj["qop"]) +
', nc=' + tokensObj["nc"] +
', cnonce="' + tokensObj["cnonce"] + '"';
和i执行setRequestHeader( “授权”,responseContentHeader); 所以,这向服务器发送的最后头是:
Authorization:Digest username:"login", realm="Guard", nonce="7d0c753c2fb4cdc9480403547952f1", uri="/", algorithm=MD5, response="e9d8ad8f04e42672f2c21d70257c1072", qop=auth, nc=00000001, cnonce="bd5fd9b093dccaa1"
但不是作品,服务器再次返回401,所有的CORS标头设置好了,所以它是没有问题的,服务器认证摘要进行测试,使用Chrome登录并且它放置的标题授权与我的相同(显然,随机数是不同的)。
有人似乎有什么我可能要去? 感谢