FlaskでDigest認証をするとcurlでユーザーとパスワードを入れても認証されない

###前提・実現したいこと

Flaskで作ったWeb APIにDigest認証をかけた際、curlで正しいユーザー名とパスワードを指定したら認証できるようにしたい

発生している問題・エラーメッセージ

Flaskで作ったWeb APIにDigest認証をかけた際、curlで正しいユーザー名とパスワードを指定しても認証されません。何故なのでしょうか？
ブラウザでユーザー名とパスワードを入力した際はうまく認証され、正しいページが表示されます。

$ curl --digest -u a:a http://127.0.0.1:80
Unauthorized Access

該当のソースコード

下記のapi.py以外にDigest認証用の設定は特に行っておりません。apacheを使用しています。

api.py
1from flask import Flask, jsonify, abort, make_response, request
2from flask_httpauth import HTTPDigestAuth
3
4api = Flask(__name__)
5
6api.config['SECRET_KEY'] = 'secret key here' #ランダムな値を作成する
7auth = HTTPDigestAuth()
8
9#"id":"パスワード"
10users = {
11    "a": "a",
12    "b": "b"
13}
14
15@auth.get_password
16def get_pw(username):
17    if username in users:
18        return users.get(username)
19    return None
20
21@api.route('/')
22@auth.login_required
23def index(): 
24    return "Hello, %s!" % auth.username()
25
26if __name__ == '__main__':
27    api.run(host='127.0.0.1', port=80)

バージョン

Python 3.7.3
Flask 1.0.2
Flask-HTTPAuth 4.4.0

###補足
ちなみにDigest認証からBasic認証に変更した時はcurlでもうまく表示されました。

行動規範の内容に同意します

回答2件

ベストアンサー

これ実に不思議な現象だと思いました。ちなみに、wgetだと認証が通ります。wget、curl、Flask-HTTPAuthの内部を追いかけたところ、原因がわかりました。

Flask-HTTPAuthはopaqueというパラメータをセッションに保存しています。なので、Cookieが有効にならないと認証に失敗します。wgetはデフォルトでCookieを保存しませんが、Digest認証時のCookieは有効になるようです。一方、cURLはオプションを指定しないとCookieが有効になりません。

解決策としては、明示的にCookieを有効にすればよいと思います。

$ curl -c cookie.jar --digest -u "a:a" http://127.0.0.1:5000
Hello, a!

ただ、実験や学習目的ならよいのですが、セキュリティが目的ならDigest認証はお勧めしません。なぜなら、パスワードの安全な保存ができないからです。サンプルソースでも平文でパスワードを取り扱っていますが、Digest認証の場合、パスワードをハッシュ値で保存することができません。
なので、セキュリティ目的なら、HTTPSとBasic認証の組み合わせの方が安全です。

投稿2021/06/27 10:46