如何在WWW-Authenticate中使用NTLM或Kerberos:Negotiate header

我正在编写.Net中的客户端应用程序,它通过HTTP与服务器通信。 在NTLM和Kerberos授权的情况下,我需要设置不同的请求缓冲选项。 如何确定是否使用NTLM或Kerberos?有可能以某种方式解码'WWW-Authenticate:Negotiate'标题?     
2019-11-03 5 条评论
分享

没有找到相关结果

    已邀请:

    梆晨灸碾

    你会在这里找到答案。 简短的回答是: 
    1.Capture some successfully authorized request using Fiddler tool.
2.Choose "Inspectors" -> "Headers" tab.
3.Pay attention at "Cookies / Login" section, "Authorization" header.
    如果授权令牌以“YII”开头,则使用Kerberos,但如果它以“TlR”开头,则不使用Kerberos。 例如Kerberos: 
    Authorization: Negotiate YIIVDAYGKwYBE...
    不是Kerberos: 
    Authorization: Negotiate TlRMTVNTUA...
        
    2019-11-03 0 0
    分享

    死搭胯

    解析Negotiate标题是一种繁琐的练习,因为它是使用ASN.1 DER构建的。 也就是说,您可能不一定需要对此进行解码,以便对有效负载做出良好的假设。虽然GSSAPI中有一个用于NTLM的机制(以下更多内容),根据我的经验,客户端实际上并没有使用它,它们只是发送NTLM头。在我(严格控制的)环境中,如果我看到
    Authorization: NTLM ...
    那么这肯定是NTLM。如果我看到
    Authorization: Negotiate ...
    那么这肯定是Kerberos。 严格来说,您应该查看标头中的机制列表,以确定该机制是NTLM还是Kerberos。我建议使用现成的ASN.1解码器,或者查看微软的解码示例。您将要查找SPNEGO OID(
    1.3.6.1.5.5.2
    ),然后查找其中的机制类型序列。序列中的第一个机制对应于响应令牌有效负载,因此您可以查看该OID以确定机制。一些已知的Kerberos OID是: 
    1.2.840.113554.1.2.2 (Kerberos 5)
1.2.840.48018.1.2.2 (Microsoft Kerberos 5)
1.3.5.1.5.2 (Kerberos 5 OID 2)
    据我所知,NTLM唯一的OID是(从这个博客引用): 
    1.3.6.1.4.1.311.2.2.10 (NLMP NTLM)
        
    2019-11-03 0 0
    分享

    邵酮

    如果服务器向用户Negotiate通告您可以自由使用Kerberos,则SPNEGO支持NTLM或者某些内容。但是,无法保证服务器支持客户端发送的每个包装的auth方法。     
    2019-11-03 0 0
    分享

    撕吠

    是;只需Base64对其进行解码,您将看到“NTLM”或“HTTP”。 C# 
    v = BitConverter.ToString(Convert.FromBase64String(v.Replace("Negotiate: ","")));
if (v.indexOf("NTLM") > -1) {
    //...
}
        
    2019-11-03 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.060371875762939