Я пытаюсь расширить функциональность библиотеки SocketRocket. Я хочу добавить функцию аутентификации.
Поскольку эта библиотека использует CFNetwork CFHTTPMessage* API для функциональности HTTP (необходимой для запуска подключения к веб-сокету). Я пытаюсь использовать этот API для обеспечения аутентификации.
Для этого есть идеально подходящая функция: CFHTTPMessageAddAuthentication, но она не работает так, как я ожидаю (как Я понимаю документация).
Вот пример кода, показывающий проблему:
- (CFHTTPMessageRef)createAuthenticationHandShakeRequest: (CFHTTPMessageRef)chalengeMessage {
CFHTTPMessageRef request = [self createHandshakeRequest];
BOOL result = CFHTTPMessageAddAuthentication(request,
chalengeMessage,
(__bridge CFStringRef)self.credentials.user,
(__bridge CFStringRef)self.credentials.password,
kCFHTTPAuthenticationSchemeDigest, /* I've also tried NULL for use strongest supplied authentication */
NO);
if (!result) {
NSString *chalengeDescription = [[NSString alloc] initWithData: CFBridgingRelease(CFHTTPMessageCopySerializedMessage(chalengeMessage))
encoding: NSUTF8StringEncoding];
NSString *requestDescription = [[NSString alloc] initWithData: CFBridgingRelease(CFHTTPMessageCopySerializedMessage(request))
encoding: NSUTF8StringEncoding];
SRFastLog(@"Failed to add authentication data `%@` to a request:\n%@After a chalenge:\n%@",
self.credentials, requestDescription, chalengeDescription);
}
return request;
}
requestDescription содержание:
GET /digest-auth/auth/user/passwd HTTP/1.1
Host: httpbin.org
Sec-WebSocket-Version: 13
Upgrade: websocket
Sec-WebSocket-Key: 3P5YiQDt+g/wgxHe71Af5Q==
Connection: Upgrade
Origin: http://httpbin.org/
chalengeDescription содержит:
HTTP/1.1 401 UNAUTHORIZED
Server: nginx
Content-Type: text/html; charset=utf-8
Set-Cookie: fake=fake_value
Access-Control-Allow-Origin: http://httpbin.org/
Access-Control-Allow-Credentials: true
Date: Mon, 29 Jun 2015 12:21:33 GMT
Proxy-Support: Session-Based-Authentication
Www-Authenticate: Digest nonce="0c7479b412e665b8685bea67580cf391", opaque="4ac236a2cec0fc3b07ef4d628a4aa679", realm="[email protected]", qop=auth
Content-Length: 0
Connection: keep-alive
Значения user и password допустимы ("user" "passwd").
Почему CFHTTPMessageAddAuthentication возвращает NO? Нет понятия, в чем проблема. Я также пытался обновить учетные данные пустым запросом, но безуспешно.
Я использовал http://httpbin.org/ только для тестирования (функциональность веб-сокета на этом этапе не имеет значения).
Обратите внимание, что используемый код не использует (и никогда не будет) NSURLRequst или NSURLSession или NSURLConnection/
Я пытался использовать разные функции:
CFHTTPAuthenticationCreateFromResponse и CFHTTPMessageApplyCredentials с тем же результатом. По крайней мере, CFHTTPMessageApplyCredentials возвращает некоторую информацию об ошибке в форме CFStreamError. Проблема в том, что эта информация об ошибке бесполезна: error.domain = 4, error.error = -1000, где эти значения нигде не задокументированы.Единственные задокументированные значения выглядят так:
typedef CF_ENUM(CFIndex, CFStreamErrorDomain) {
kCFStreamErrorDomainCustom = -1L, /* custom to the kind of stream in question */
kCFStreamErrorDomainPOSIX = 1, /* POSIX errno; interpret using <sys/errno.h> */
kCFStreamErrorDomainMacOSStatus /* OSStatus type from Carbon APIs; interpret using <MacTypes.h> */
};
CFHTTPAuthenticationCreateFromResponse возвращает недопустимый объект, описание которого возвращает это:
<CFHTTPAuthentication 0x108810450>{state = Failed; scheme = <undecided>, forProxy = false}
Я нашел в документации, что означают эти значения: domain=kCFStreamErrorDomainHTTP, error=kCFStreamErrorHTTPAuthenticationTypeUnsupported (спасибо @JensAlfke, я нашел это до вашего комментария). Почему не поддерживается? Документация утверждает, что дайджест поддерживается, существует константа kCFHTTPAuthenticationSchemeDigest, которая принимается и ожидается CFHTTPMessageAddAuthentication!
Я откопал исходный код
CFNetwork аутентификации и попытаться выяснить, в чем проблема.
Я должен сделать некоторую ошибку, так как это простое приложение для вкуса также терпит неудачу:
#import <Foundation/Foundation.h>
#import <CFNetwork/CFNetwork.h>
static NSString * const kHTTPAuthHeaderName = @"WWW-Authenticate";
static NSString * const kHTTPDigestChallengeExample1 = @"Digest realm=\"[email protected]\", "
"qop=\"auth,auth-int\", "
"nonce=\"dcd98b7102dd2f0e8b11d0f600bfb0c093\", "
"opaque=\"5ccc069c403ebaf9f0171e9517f40e41\"";
static NSString * const kHTTPDigestChallengeExample2 = @"Digest nonce=\"b6921981b6437a4f138ba7d631bcda37\", "
"opaque=\"3de7d2bd5708ac88904acbacbbebc4a2\", "
"realm=\"[email protected]\", "
"qop=auth";
static NSString * const kHTTPBasicChallengeExample1 = @"Basic realm=\"Fake Realm\"";
#define RETURN_STRING_IF_CONSTANT(a, x) if ((a) == (x)) return @ #x
NSString *NSStringFromCFErrorDomain(CFIndex domain) {
RETURN_STRING_IF_CONSTANT(domain, kCFStreamErrorDomainHTTP);
RETURN_STRING_IF_CONSTANT(domain, kCFStreamErrorDomainFTP);
RETURN_STRING_IF_CONSTANT(domain, kCFStreamErrorDomainSSL);
RETURN_STRING_IF_CONSTANT(domain, kCFStreamErrorDomainSystemConfiguration);
RETURN_STRING_IF_CONSTANT(domain, kCFStreamErrorDomainSOCKS);
RETURN_STRING_IF_CONSTANT(domain, kCFStreamErrorDomainPOSIX);
RETURN_STRING_IF_CONSTANT(domain, kCFStreamErrorDomainMacOSStatus);
return [NSString stringWithFormat: @"UnknownDomain=%ld", domain];
}
NSString *NSStringFromCFErrorError(SInt32 error) {
RETURN_STRING_IF_CONSTANT(error, kCFStreamErrorHTTPAuthenticationTypeUnsupported);
RETURN_STRING_IF_CONSTANT(error, kCFStreamErrorHTTPAuthenticationBadUserName);
RETURN_STRING_IF_CONSTANT(error, kCFStreamErrorHTTPAuthenticationBadPassword);
return [NSString stringWithFormat: @"UnknownError=%d", (int)error];
}
NSString *NSStringFromCFHTTPMessage(CFHTTPMessageRef message) {
return [[NSString alloc] initWithData: CFBridgingRelease(CFHTTPMessageCopySerializedMessage(message))
encoding: NSUTF8StringEncoding];
}
void testAuthenticationHeader(NSString *authenticatiohHeader) {
CFHTTPMessageRef response = CFHTTPMessageCreateResponse(kCFAllocatorDefault,
401,
NULL,
kCFHTTPVersion1_1);
CFAutorelease(response);
CFHTTPMessageSetHeaderFieldValue(response,
(__bridge CFStringRef)kHTTPAuthHeaderName,
(__bridge CFStringRef)authenticatiohHeader);
CFHTTPAuthenticationRef authData = CFHTTPAuthenticationCreateFromResponse(kCFAllocatorDefault, response);
CFAutorelease(authData);
CFStreamError error;
BOOL validAuthData = CFHTTPAuthenticationIsValid(authData, &error);
NSLog(@"testing header value: %@\n%@authData are %@ error.domain=%@ error.error=%@\n\n",
authenticatiohHeader, NSStringFromCFHTTPMessage(response),
validAuthData?@"Valid":@"INVALID",
NSStringFromCFErrorDomain(error.domain), NSStringFromCFErrorError(error.error));
}
int main(int argc, const char * argv[]) {
@autoreleasepool {
testAuthenticationHeader(kHTTPDigestChallengeExample1);
testAuthenticationHeader(kHTTPDigestChallengeExample2);
testAuthenticationHeader(kHTTPBasicChallengeExample1);
}
return 0;
}
Журналы показывают:
2015-07-01 16:33:57.659 cfauthtest[24742:600143] testing header value: Digest realm="[email protected]", qop="auth,auth-int", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", opaque="5ccc069c403ebaf9f0171e9517f40e41"
HTTP/1.1 401 Unauthorized
Www-Authenticate: Digest realm="[email protected]", qop="auth,auth-int", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", opaque="5ccc069c403ebaf9f0171e9517f40e41"
authData are INVALID error.domain=kCFStreamErrorDomainHTTP error.error=kCFStreamErrorHTTPAuthenticationTypeUnsupported
2015-07-01 16:33:57.660 cfauthtest[24742:600143] testing header value: Digest nonce="b6921981b6437a4f138ba7d631bcda37", opaque="3de7d2bd5708ac88904acbacbbebc4a2", realm="[email protected]", qop=auth
HTTP/1.1 401 Unauthorized
Www-Authenticate: Digest nonce="b6921981b6437a4f138ba7d631bcda37", opaque="3de7d2bd5708ac88904acbacbbebc4a2", realm="[email protected]", qop=auth
authData are INVALID error.domain=kCFStreamErrorDomainHTTP error.error=kCFStreamErrorHTTPAuthenticationTypeUnsupported
2015-07-01 16:33:57.660 cfauthtest[24742:600143] testing header value: Basic realm="Fake Realm"
HTTP/1.1 401 Unauthorized
Www-Authenticate: Basic realm="Fake Realm"
authData are INVALID error.domain=kCFStreamErrorDomainHTTP error.error=kCFStreamErrorHTTPAuthenticationTypeUnsupported
редактировать после моего собственного ответа:
Альтернативное решение
Другое возможное решение — вручную проанализировать заголовок ответа WWW-Authenticate, прецессировать его и сгенерировать заголовок Authorization для нового запроса.
Есть ли какая-то простая библиотека или пример кода, который я мог бы использовать в коммерческом приложении, которое будет делать это (только это)? Я мог бы сделать это сам, но это займет драгоценное время. Баунти все еще доступна :).
CFHTTPMessage, который работает сCFStream, и вы имеете в виду API более высокого уровняNSURLConnectionилиNSURLSession. По какой-то странной причинеCFHTTPMessageAddAuthenticationотказался добавить данные для аутентификации в мой запрос, и нет никакой информации, почему. - person Marek R schedule 29.06.2015NSURLRequest(на самом деле это объектNSMutableURLRequest) с помощью- (id)initWithURLRequest:(NSURLRequest *)request;? Просто не уверен, что при прохождении через_urlRequest.allHTTPHeaderFieldsон правильно добавит объект Auth с помощьюCFHTTPMessageSetHeaderFieldValue(request, (__bridge CFStringRef)key, (__bridge CFStringRef)obj);- person sbarow schedule 29.06.2015NSURLRequestздесь недоступен, так как HTTP используется только как рукопожатие для запуска подключения к веб-сокету, поэтому для HTTP используется API более низкого уровня. - person Marek R schedule 29.06.2015SRWebSocket.h) в строке64, вы увидите- (id)initWithURLRequest:(NSURLRequest *)request;, поэтомуNSURLRequestна самом деле доступно. Как я уже сказал, я не знаю вашей реализации, так что это все, что я могу посоветовать. Удачи. - person sbarow schedule 29.06.2015NSURLRequestиспользуется только как временное хранилище для заголовков и URL и больше ничего. Для протокола HTTP используется только CFNetwork API. - person Marek R schedule 30.06.2015CFHTTPAuthentication.c- person Marek R schedule 01.07.2015