c# - 如何获取 Http 基本身份验证的凭据

Question

我正在编写 C# 应用程序，需要从仅提供 Http 基本身份验证的 rss 页面中抓取一些信息。

这似乎给我留下了两个选择

• 要求用户将他们的凭据输入到我的应用程序中(该应用程序存在信任问题，因为该应用程序是潜在的中间人攻击者？)

• 让 Windows 以某种方式代表我的应用程序插入凭据(此设施是否存在？)

我在 SO 上看到的所有示例都将用户名/密码硬编码在应用程序中，或者作为参数从未指定的地方传入。我的用例是，我想将此应用提供给可能不想用密码信任它的人。

这通常是如何处理的？谢谢

Answer 1

简答:基本身份验证是不可能的。通常不可能将操作系统作为可信实例。

长答案:

解决此问题的正确方法是应用程序将控制权交给操作系统 (Windows)，然后操作系统询问用户“您是否信任应用程序 XY 使用您的身份？”。用户接受后，您的应用程序将收到一个安全 token ，之后您可以使用该 token 发出 HTTP 请求以获取 RSS 提要。问题是，有问题的站点只接受基本身份验证。这意味着，“安全 token ”是 base64 编码的用户名和密码。因此用户名和密码无论如何都会暴露给您的应用程序。

第二个问题是操作系统和 RSS 站点必须共享一个 secret (即您或任何其他不允许登录站点用户的加密 key )，以使操作系统能够发布一个安全 token 受 RSS 站点信任。

如何实际解决问题

在不知道密码的情况下代表用户使用第三方软件访问 Web 资源的默认示例是 OAuth ，例如参见 Facebook login flow . (但是，这需要相关网站/资源提供第三方访问权限。如您的问题所示，这不适用于您的用例。)

采用的模式如下:

先决条件:您需要向RSS服务提供商注册您的应用程序以获得应用程序ID和应用程序 key 。

1. 您的应用程序将用户重定向到身份提供商的登录端点。
2. 用户接受(或拒绝)您的应用程序访问他的身份和数据(例如 RSS 流)。
3. 身份提供者重定向到您的应用
4. 您的应用程序会收到一个 token ，该 token 可用于代表用户发出经过身份验证的请求。这可能涉及额外的步骤，例如将 token 交换为另一个。

替代解决方案(不回答您的问题):有时( protected )RSS 提要可以通过 secret 的用户特定 URL 访问。当然，用户必须向您的应用程序提供该 url。