Почему мне не удаётся совершить второй запрос по Digest?

Question

[accountnujen]

Я прочитал документацию по rfc7616 (https://datatracker.ietf.org/doc/html/rfc7616), но у меня не получается выполнить второй запрос в рамках одной авторизации. Насколько я понимаю, я должен сделать нулевой (пустой) запрос, затем получить nonce из ответа, посчитать A1 и A2, а затем, с полученным заголовком, сделать первый запрос. В последующих запросах я должен увеличить NC и изменить URI.

1. Я делаю пустой запрос.
   
2. Получаю ответ 401 и nonce.
   
3. Я вычисляю ответ, A1 и A2.
   
4. Я делаю первый запрос.
   
5. Получаю ответ 200.
   
6. Я меняю URI, NC и считаю новый ответ.
   
7. Я получаю ответ 401 stale=true
   

По какой-то причине второй запрос возвращает мне ошибку 401 и stale=true. Подскажите пожалуйста, я где-то ошибся или проблема в сервере?

$urlcam = 'http://website.com';
$username = 'admin';
$password = 'password';

function request($url, $header) {
	$request_header = array($header);
  	$request_header[] = 'Accept: */*';

	$ch = curl_init($GLOBALS['urlcam'].$url);
	curl_setopt_array($ch, [
    	CURLOPT_RETURNTRANSFER => 1,
    	CURLOPT_CUSTOMREQUEST => "GET",
    	CURLOPT_HTTPAUTH => CURLAUTH_DIGEST,
    	CURLOPT_HTTPHEADER => $request_header,
    	CURLOPT_HEADER => true
  	]);
  	$response = curl_exec($ch);
  	$info = curl_getinfo($ch);
  	curl_close($ch);
  	return ["res" => $response, "info" => $info];
}

function authparse($data) {
	preg_match('/WWW-Authenticate: Digest (.*)/', $data, $matches);
	$auth_header_array = explode(',', $matches[1]);
	$result = [];
	foreach ($auth_header_array as $pair) {
	  $vals = explode('=', $pair);
	  $result[trim($vals[0])] = trim(trim($vals[1]),'"');
	}
	return $result;
}


$start = date("Y-m-d%20H:i:s", strtotime('18.07.2022 09:00:00'));
$end = date("Y-m-d%20H:i:s", strtotime('18.07.2022 18:00:00'));


##################################################################################
##################################################################################
##################################################################################
# Empty request

$urlCreate = "/cgi-bin/mediaFileFind.cgi?action=factory.create";
$resultCreate = request($urlCreate, '');

##################################################################################
##################################################################################
##################################################################################
# First request

$resultCreateParse = authparse($resultCreate['res']);

$realm = $resultCreateParse['realm'];
$qop = $resultCreateParse['qop'];
$opaque = $resultCreateParse['opaque'];
$nonce = $resultCreateParse['nonce'];

$cnonce = "0a4f113b";
$nc = "00000001";

$a1 = md5($username.":".$realm.":".$password);
$a2 = md5("GET:".$urlCreate);
$a3 = md5($a1.':'.$nonce.':'.$nc.':'.$cnonce.':'.$qop.':'.$a2);

$headerCreate = 'Authorization: Digest username="'.$username.'",realm="'.$realm.'",nonce="'.$nonce.'",uri="'.$urlCreate.'",cnonce="'.$cnonce.'",nc='.$nc.',response="'.$a3.'",qop="'.$qop.'",opaque="'.$opaque.'"';

$resultCreate = request("$urlCreate", $headerCreate);


$id = explode('result=',trim($resultCreate['res']))[1];


##################################################################################
##################################################################################
##################################################################################
# Second request
$urlFindFile = "/cgi-bin/mediaFileFind.cgi?action=findFile&condition.Channel=1&condition.StartTime=$start&condition.EndTime=$end&condition.Types[0]=dav&object=$id";

$cnonce = "0a4f113b";
$nc = "00000002";

$a1 = md5($username.":".$realm.":".$password);
$a2 = md5("GET:".$urlFindFile);
$a3 = md5($a1.':'.$nonce.':'.$nc.':'.$cnonce.':'.$qop.':'.$a2);

$headerFindFile = 'Authorization: Digest username="'.$username.'",realm="'.$realm.'",nonce="'.$nonce.'",uri="'.$urlFindFile.'",cnonce="'.$cnonce.'",nc='.$nc.',response="'.$a3.'",qop="'.$qop.'",opaque="'.$opaque.'"';

$resultFindFile = request($urlFindFile, $headerFindFile);

Answer 1

[Rsa97]

Ответ stale: true говорит о том, что nonce протух.

Если в ответе на запрос возвращается параметр nextnonce, то надо сбросить счётчик nc и использовать новое значение nonce. https://datatracker.ietf.org/doc/html/rfc7616#sect...

Если такого параметра нет, то новый nonce возвращается при ответе 401.

Да, ещё сервер может прислать вам список методов в qop. И вам надо не просто скопировать присланное значение, а выбрать из этого списка подходящий метод.

Comments

[accountnujen]

спасибо за то, что откликнулись

Ответ stale: true говорит о том, что nonce протух.

как вы можете увидеть из кода, у него нет времени на то, чтобы протухнуть. скрипт выполняется на секунды.

Если в ответе на запрос возвращается параметр nextnonce, то надо сбросить счётчик nc и использовать новое значение nonce. https://datatracker.ietf.org/doc/html/rfc7616#sect...

увы, но ничего подобного нет.

ответы, которые я получаю

# пустой запрос
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Digest realm="Login to bd72fbb2e0734a3cb18d4cb40504cdf0", qop="auth", nonce="1772632694", opaque="1a067f2162e6693bed2d111d38af7bee229a316f"
Connection: close
Set-Cookie:secure; HttpOnly
CONTENT-LENGTH: 0


# первый запрос
HTTP/1.1 200 OK
X-XSS-Protection: 1;mode=block
X-Frame-Options: SAMEORIGIN
Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'
Strict-Transport-Security: max-age=604800; includeSubDomains
Content-type: text/plain;charset=utf-8
CONNECTION: close
Set-Cookie:secure; HttpOnly
CONTENT-LENGTH: 19

result=2120417680


#второй запрос
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Digest realm="Login to bd72fbb2e0734a3cb18d4cb40504cdf0", qop="auth", nonce="847807814", opaque="1a067f2162e6693bed2d111d38af7bee229a316f", stale=TRUE
Connection: close
Set-Cookie:secure; HttpOnly
CONTENT-LENGTH: 0

Да, ещё сервер может прислать вам список методов в qop. И вам надо не просто скопировать присланное значение, а выбрать из этого списка подходящий метод.

qop всегда auth.

Я конечно могу и второй раз посчитать a1,a2,response, но это уже вторая авторизация будет. Мне же нужно сделать это за один nonce.

Подскажите, у меня ошибок нет? Я всё правильно понял? Мне просто непонятно, то ли лыжи не едут, то ли я...

[Rsa97]

accountnujen,

как вы можете увидеть из кода, у него нет времени на то, чтобы протухнуть. скрипт выполняется на секунды.

Сервер может генерировать новый nonce после каждого запроса. Каких-то конкретных требований по сроку жизни nonce в стандарте нет.
"The authentication session lasts until the client receives another WWW-Authenticate challenge from any server in the protection space."
"The Authorization header field MAY be included preemptively; doing so improves server efficiency and avoids extra round trips for authentication challenges. The server MAY choose to accept the old Authorization header field information, even though the nonce value included might not be fresh. Alternatively, the server MAY return a 401 response with a new nonce value in the WWW-Authenticate header field, causing the client to retry the request; by specifying "stale=true" with this response, the server tells the client to retry with the new nonce, but without prompting for a new username and password."
Как видите, жёстких требований к поведению сервера нет, использовано MAY, то есть "может".

Мне же нужно сделать это за один nonce.

Если сервер такого не поддерживает, то сделать не получится.

qop всегда auth

Тут вам просто повезло. Сервер вообще может вернуть несколько заголовков WWW-Authenticate с разными algorithm и списками qop.

[accountnujen]

Rsa97, скажите, вы знаете какой-нибудь сервис, где есть рабочая digest авторизация, чтобы проверить на ней мой код?

[Rsa97]

accountnujen, Не знаю. Полагаю, что этот метод мало где используется.