卷曲授权

Question

我有https设置的弹簧安全性.

当我尝试以安全的方式在URL上运行curl GET时,我看到了一个意外的行为.

当curl首先向服务器发送请求时,它没有授权数据(为什么？我特意添加了它).然后,服务器回复认证错误(401).然后,客户端重新发送请求,这次使用授权数据,服务器正确回复所需数据.

知道为什么会这样吗？

卷曲命令:

curl -v --insecure --anyauth --user username:password -H"Accept:application/json"-H"Content-Type:application/json"-X GET localhost:8443/myresource

要求1:

> GET /myresource HTTP/1.1
> User-Agent: curl/7.21.3 (x86_64-redhat-linux-gnu) libcurl/7.21.3 NSS/3.13.1.0 zlib/1.2.5 libidn/1.19 libssh2/1.2.7
> Host: localhost:8443
> Accept: application/json
> Content-Type: application/json

回复1:

< HTTP/1.1 401 Unauthorized
< Server: Apache-Coyote/1.1
< Set-Cookie: JSESSIONID=B56A7F49E715795B5D1158DB192710AA; Path=/myresource ; Secure; HttpOnly
< WWW-Authenticate: Digest realm="Protected", qop="auth", nonce="MTM0Njg2MjYwMjY0ODozNDk5ZDkxNTYxNjMxMDJmNDA4MWQ1NTBmZjk5OGQ5Nw=="
< Content-Type: text/html;charset=utf-8
< Content-Length: 1119
< Date: Wed, 05 Sep 2012 16:29:52 GMT

要求2:

> GET /myresource HTTP/1.1
> Authorization: Digest username="username", realm="Protected", nonce="MTM0Njg2MjYwMjY0ODozNDk5ZDkxNTYxNjMxMDJmNDA4MWQ1NTBmZjk5OGQ5Nw==", uri="/myresource", cnonce="ODczNjg0", nc=00000001, qop="auth", response="58faded9ae5f639ba0056fb86edca71f"
> User-Agent: curl/7.21.3 (x86_64-redhat-linux-gnu) libcurl/7.21.3 NSS/3.13.1.0 zlib/1.2.5 libidn/1.19 libssh2/1.2.7
> Host: localhost:8443
> Accept: application/json
> Content-Type: application/json

回应2:

< HTTP/1.1 200 OK
< Server: Apache-Coyote/1.1
< Set-Cookie: JSESSIONID=37F375C5663C4A049D95D49C7C1CF0FD; Path=/myresource ; Secure; HttpOnly
< Content-Type: application/json
< Transfer-Encoding: chunked
< Date: Wed, 05 Sep 2012 16:29:52 GMT

Answer 1

从男人卷曲:

--anyauth

(HTTP)告诉curl自己找出身份验证方法,并使用远程站点声称支持的最安全的方法.这是通过首先执行请求并检查响应头来完成的,因此可能导致额外的网络往返.这用于代替设置特定的身份验证方法,您可以使用--basic, - digest,--ntlm和--negotiate.

请注意,如果您从stdin上传,则不建议使用--anya,因为它可能需要发送两次数据,然后客户端必须能够回放.如果从stdin上传时需要,则上传操作将失败.

你应该使用--digest而不是--anya.