问使用HTTP身份验证在服务器上使用基本身份验证的测试API

EN

基本上，您试图使用相同的方法在一行中执行两个身份验证。这不是这个认证协议所涵盖的场景--简而言之，您不能使用标准设置。

协议不能满足这种情况的原因是头冲突:第一个挑战将使用WWW-Authenticate / Authorization头对，第二个挑战将在单个请求中使用。

允许双重身份验证的一种方法需要更改(可能不允许这样做)：

• 您可以让第一个身份验证进程接受两对标头，对第一对头进行身份验证，然后重写第二个身份验证进程的标头。如果环境中不包含安全敏感数据(例如客户数据)，这对于测试环境应该是很好的。否则绝对是个坏主意。
• 您可以将第一个身份验证过程替换为不同的协议。例如，您可以停用进程，并需要一个SSH / VPN隧道来访问该机器。然后，可以对所有HTTP请求进行隧道化，它们只需要针对第二个进程进行身份验证。

最后一件事。我不知道这是行不通的：

curl --user "test:password" http://stan:uberflow@myserver.com

--user和URL中的凭据都使用基本身份验证，因此它们是相互执行的。它可能取决于实现；在我的环境中，--user优先。

1:我谨慎地避免使用安全协议，因为是不“非常”安全，它在HTTPS上提供了很差的保护。