WWW-Authenticate:协商的身份验证问题

Question

我正在尝试访问一个受密码保护的网站。它没有使用基本身份验证(即使在firefox中弹出相同的用户/密码框)，因为响应头是WWW-Authenticate: Negotiate。

我想通过发送正确的报头来自动化登录过程。

在basic中，您可以使用类似以下内容：

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

我将使用什么来进行协商？

Answer 1

web服务器提示您输入SPNEGO (简单且受保护的GSSAPI协商机制)令牌。

这是微软的一项发明，用于协商用于Web SSO (单点登录)的身份验证类型：

• NTLM
• 或Kerberos。

请参见：

微软MSDN图书馆：

• RFC 4178：

Answer 2

将这些信息放在这里是为了给未来的读者带来好处。

• 401 (Unauthorized) response header ->请求身份验证头
• 这里有几个WWW-Authenticate response headers。(完整列表在IANA：.)
• WWW-Authenticate: Basic->授权:基本+令牌-用于基本authentication
• WWW-Authenticate: NTLM->授权: NTLM +令牌(2 challenges)
• WWW-Authenticate: Negotiate身份验证:协商+令牌-用于Kerberos身份验证和
• 顺便说一句: IANA具有此angry remark about Negotiate：此身份验证方案违反了HTTP语义(面向连接)和语法(使用与WWW和授权报头字段syntax).

不兼容的语法

仅当您的401质询中也有Authorization: Basic标头时，才能设置WWW-Authenticate: Basic标头。

但是，由于您使用的是WWW-Authenticate: Negotiate，因此基于Kerberos的身份验证应该是这种情况。