FlaskでDigest認証をするとcurlでユーザーとパスワードを入れても認証されない

###前提・実現したいこと

Flaskで作ったWeb APIにDigest認証をかけた際、curlで正しいユーザー名とパスワードを指定したら認証できるようにしたい

発生している問題・エラーメッセージ

Flaskで作ったWeb APIにDigest認証をかけた際、curlで正しいユーザー名とパスワードを指定しても認証されません。何故なのでしょうか？
ブラウザでユーザー名とパスワードを入力した際はうまく認証され、正しいページが表示されます。

$ curl --digest -u a:a http://127.0.0.1:80
Unauthorized Access

該当のソースコード

下記のapi.py以外にDigest認証用の設定は特に行っておりません。apacheを使用しています。

api.py
1from flask import Flask, jsonify, abort, make_response, request
2from flask_httpauth import HTTPDigestAuth
3
4api = Flask(__name__)
5
6api.config['SECRET_KEY'] = 'secret key here' #ランダムな値を作成する
7auth = HTTPDigestAuth()
8
9#"id":"パスワード"
10users = {
11    "a": "a",
12    "b": "b"
13}
14
15@auth.get_password
16def get_pw(username):
17    if username in users:
18        return users.get(username)
19    return None
20
21@api.route('/')
22@auth.login_required
23def index(): 
24    return "Hello, %s!" % auth.username()
25
26if __name__ == '__main__':
27    api.run(host='127.0.0.1', port=80)

バージョン

Python 3.7.3
Flask 1.0.2
Flask-HTTPAuth 4.4.0

###補足
ちなみにDigest認証からBasic認証に変更した時はcurlでもうまく表示されました。

行動規範の内容に同意します

回答1件

ベストアンサー

これ実に不思議な現象だと思いました。ちなみに、wgetだと認証が通ります。wget、curl、Flask-HTTPAuthの内部を追いかけたところ、原因がわかりました。

Flask-HTTPAuthはopaqueというパラメータをセッションに保存しています。なので、Cookieが有効にならないと認証に失敗します。wgetはデフォルトでCookieを保存しませんが、Digest認証時のCookieは有効になるようです。一方、cURLはオプションを指定しないとCookieが有効になりません。

解決策としては、明示的にCookieを有効にすればよいと思います。

$ curl -c cookie.jar --digest -u "a:a" http://127.0.0.1:5000
Hello, a!

ただ、実験や学習目的ならよいのですが、セキュリティが目的ならDigest認証はお勧めしません。なぜなら、パスワードの安全な保存ができないからです。サンプルソースでも平文でパスワードを取り扱っていますが、Digest認証の場合、パスワードをハッシュ値で保存することができません。
なので、セキュリティ目的なら、HTTPSとBasic認証の組み合わせの方が安全です。

投稿2021/06/27 10:46

ockeghem

総合スコア11705

a_eui

2021/06/27 12:02 編集

ご丁寧な回答ありがとうございます。大変勉強になりました。追加の質問で恐縮なのですが、curlでオプションを付け加える以外に、pythonファイルの内容に何か追加するなどしてCookieを有効にする方法はあるのでしょうか？

ockeghem

2021/06/27 12:03

Pythonなどサーバー側の操作でCookieを有効にする方法はありません。やるとすれば、Flask-HTTPAuthをカスタマイズしてopaqueのチェックを省くくらいです。セキュリティを弱める方向なので、お勧めできませんが。

a_eui

2021/06/27 12:08

承知いたしました。この度は大変勉強になりました。本当にありがとうございました。

Arthur1111

2024/01/05 04:43

Digest認証がFlaskと予想通りに機能しない場合、この問題にはいくつかの理由が考えられます。以下は問題をトラブルシュートし、解決するための手順です： 1. **Flask-Danceの構成を確認:** OAuthやその他の認証メカニズムでFlask-Danceを使用している場合、構成が正しく設定されていることを確認してください。Flask-Danceのドキュメントを確認し、認証URL、シークレットキーなど、必要なパラメータが正しく構成されているか確認してください。 2. **Digest認証の設定を確認:** FlaskアプリケーションがDigest認証に適切に設定されていることを確認してください。これには`SECRET_KEY`の設定やユーザーデータベースの構成、認証機能の設定が含まれます。 3. **curlリクエストを確認:** `curl`リクエストにDigest認証のための正しいパラメータが含まれているか確認してください。たとえば、以下のように、リクエストヘッダにユーザー名とパスワードが含まれている必要があります： ```bash curl -X GET --user username:password http://your-flask-app/route ``` 4. **FlaskでのDigest認証:** FlaskでDigest認証を手動で実装している場合、正しいアルゴリズムを使用し、認証プロセスを適切に処理していることを確認してください。 5. **異なるクライアントでテスト:** 問題が`curl`に特有のものでないかどうかを確認するために、異なるHTTPクライアントを使用してみてください。PostmanやHTTPieなどのツールを使用してDigest認証付きのリクエストを送信できます。 6. **ブラウザの動作を確認:** ウェブブラウザを使用してFlaskアプリケーションにアクセスしようとしてみてください。一部のブラウザはDigest認証に異なる動作をすることがあります。 7. **デバッグとログ:** Flaskアプリケーションにログステートメントを追加して認証プロセスをデバッグしてください。これにより、問題が発生している場所を特定するのに役立ちます。 8. **Flaskおよび依存関係の更新:** Flaskおよび関連する依存関係の最新バージョンを使用していることを確認してください。問題が修正された最新バージョンに更新することで解決できることがあります。 9. **Flaskドキュメントを参照:** Flaskのドキュメントおよび関連する拡張機能のドキュメントを確認し、Digest認証を実装する際に最善の方法に従っていることを確認してください。 10. **ネットワークの問題:** 認証プロセス中にクライアントとサーバーの間で正しい通信が妨げられていないか確認してください。これらの手順を実施した後も問題が解決しない場合は、Flaskアプリケーションの認証設定や、認証に関連するコードスニペット、使用している`curl`コマンドに関する詳細情報を提供することを検討してください。これにより、より具体的なサポートが可能になります。また、詳細情報が必要な場合は、https://capcutnewtemplates.com/ を参照してください。

行動規範の内容に同意します