処理 [45] credentials の引数 やその値が不適切だったり、
必須のものが指定されていなかったりした時は、
4xx 応答 を返すのが適切です >>44
[54] サーバー は、 Authorization: ヘッダー を受信したら、提出された利用者名 に対応する合言葉 を探し、
妥当性 を検査して構いません。
次に、クライアント が行ったのと同じダイジェストアルゴリズム を適用し、
response なりません >>53
[55] サーバー は、 H A1 合言葉 を平文 で保存しておく必要はありません。 >>53 [56] と RFC は言っていますが、そうすると MD5 → SHA1 → SHA2
のようなダイジェストアルゴリズム の移行が不可能になってしまいます。[46] ログイン の失敗は、記録するべきです クライアント が失敗を繰り返す時は、
合言葉 を推測する攻撃かもしれません。 >>44
[47] サーバー は、記録時には平文 の合言葉 が記録されないよう注意するべきです >>44 利用者名 に誤って合言葉 が記入されるかもしれません >>44
[57] そんな無茶な...[60] Authorization: ヘッダー を (challenge を受信せずに)
予め要求 に含めておいても構いません。 >>53
[61] サーバー は、古い Authorization: ヘッダー を受け入れることとしても構いません。 nonce が新鮮 でなくても受け入れて構いません。
あるいは新しい nonce 401 応答 を返してクライアント に再試行を求めても構いません。 >>53
歴史 第1世代 RFC 2069 [1] RFC 2069 - An Extension to HTTP : Digest Access Authentication (2012-02-26 10:05:21 +09:00 版) http://tools.ietf.org/html/rfc2069 [7] Digest 特許権 の主張があったようですが
(現在は削除されています。) >>6 Digest >>8 RFC
の10年後の2008年の出願である >>9 >>6
[6] IPR Details - CNRS's Statement about IPR related to RFC 4768, RFC 2069, RFC 4169, and draft-ietf-httpbis-p7-auth-11 (2014-10-21 14:36:27 +09:00 版) https://datatracker.ietf.org/ipr/1398/ [8] Re: IPR Disclosure: CNRS's Statement about IPR related to RFC 4768, RFC 2069, RFC 4169, and draft-ietf-httpbis-p7-auth-11 (Robert Collins 著, 2010-09-01 10:12:41 +09:00 版) http://lists.w3.org/Archives/Public/ietf-http-wg/2010JulSep/0268.html [9] Fwd: IPR Disclosure: CNRS's Statement about IPR related to RFC 4768, RFC 2069, RFC 4169, and draft-ietf-httpbis-p7-auth-11 (2012-05-07 18:49:55 +09:00 版) http://www.ietf.org/mail-archive/web/ietf/current/msg63296.html 第2世代 RFC 2617 [3]
[2] RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication (2012-01-09 21:04:30 +09:00 版) http://tools.ietf.org/html/rfc2617#section-3 [4] RFC 2068 世代の RFC 2069 は Digest認証 単独の仕様書でしたが、
次の RFC 2617 は Basic認証 と共通の仕様書になっています。
[23] draft-ietf-http-digest-aa-00 - An Extension to HTTP : Digest Access Authentication
( (2014-10-16 21:03:19 +09:00 版))
https://tools.ietf.org/html/draft-ietf-http-digest-aa-00
[12] RFC 3310 - Hypertext Transfer Protocol (HTTP) Digest Authentication Using Authentication and Key Agreement (AKA)
( (2014-07-27 08:35:17 +09:00 版))
https://tools.ietf.org/html/rfc3310#section-3.4
[14] draft-santesson-digestbind-01 - Channel binding for HTTP Digest Authentication
( (2014-10-20 03:22:56 +09:00 版))
http://tools.ietf.org/html/draft-santesson-digestbind-01
[15] RFC 2831 - Using Digest Authentication as a SASL Mechanism
( (2014-09-28 07:45:48 +09:00 版))
http://tools.ietf.org/html/rfc2831
[16] RFC 6331 - Moving DIGEST-MD5 to Historic
( (2014-09-14 08:29:19 +09:00 版))
http://tools.ietf.org/html/rfc6331
[30] HTTP クライアントを作ってみよう(6) - Digest 認証編 -
(2015-06-15 18:56:36 +09:00 版)
http://x68000.q-e-d.net/~68user/net/http-auth-2.html IE6 では Digest 認証を使って foo.cgi?FOO=BAR のような URL にリクエストすると、 誤ったリクエストを送ってしまうバグがあります。 以下の URL は Mozilla や FireFox では正しく閲覧できますが、IE6 だと正しいユーザ名・パスワードを送信しても、 400 Bad Request になってしまいます (Windows XP SP2 + IE6 で確認)。
サンプル: http://X68000.q-e-d.net/~68user/net/sample/http-auth-digest/secret.cgi?FOO=BAR
Atom [29] Atom は Digest認証 がそのままでは実用に供せないとして、
auth-scheme Atom >>28 WS-Security に影響されて WSSE となりました。
WSSE 、AtomPub を参照。[28] New AtomAPI Implementation Release | BitWorking | Joe Gregorio
(2015-02-21 01:28:56 +09:00 版)
http://web.archive.org/web/20101213023745/http://bitworking.org/news/New_AtomAPI_Implementation_Release2 Last week Mark Pilgrim and I released an implementation of the AtomAPI, both a client and a server. That implementation included a new authorization scheme that we came up with. Now we would have liked to used HTTP Digest authentication, and the AtomAPI should support Digest authentication, but for many users setting up Digest just isn't possible.
SIP [24] draft-smith-sipping-auth-examples-01 - Digest Authentication Examples for Session Initiation Protocol (SIP)
( (2014-10-16 12:01:47 +09:00 版))
http://tools.ietf.org/html/draft-smith-sipping-auth-examples-01
[10] draft-yusef-sipcore-digest-scheme-04 - The Session Initiation Protocol (SIP) Digest Authentication Scheme
( (2014-10-21 20:31:07 +09:00 版))
https://tools.ietf.org/html/draft-yusef-sipcore-digest-scheme-04
[13] draft-sen-sipping-onehop-digest-00 - Single Hop Message Authentication in SIP
( (2014-10-16 22:15:52 +09:00 版))
http://tools.ietf.org/html/draft-sen-sipping-onehop-digest-00
[17] RFC 5090 - RADIUS Extension for Digest Authentication
( (2014-09-21 10:50:27 +09:00 版))
https://tools.ietf.org/html/rfc5090
[18] RFC 4976 - Relay Extensions for the Message Sessions Relay Protocol (MSRP)
( (2014-10-18 23:44:47 +09:00 版))
https://tools.ietf.org/html/rfc4976#section-9.1
[20] draft-ivov-sipxmpp-auth-01 - Problem Statement and Possible Best Practices for Authentication of SIP+ XMPP Clients
( (2014-10-14 11:37:53 +09:00 版))
http://tools.ietf.org/html/draft-ivov-sipxmpp-auth-01
第3世代 RFC 7616 [33] ダイジェスト認証 は RFC 723x と同時には改訂されてませんでしたが、
数ヶ月遅れて2015年に RFC 7616 RFC 2617
は廃止 されました。
[22] RFC 7236 - Initial Hypertext Transfer Protocol (HTTP) Authentication Scheme Registrations
( (2014-09-10 00:40:16 +09:00 版))
https://tools.ietf.org/html/rfc7236#section-3
[11] draft-ietf-httpauth-digest-08 - HTTP Digest Access Authentication
( (2014-10-16 11:44:53 +09:00 版))
http://tools.ietf.org/html/draft-ietf-httpauth-digest-08
[19] draft-veltri-sip-alt-auth-00 - HTTP digest authentication using alternate password storage schemes
( (2014-10-19 13:09:02 +09:00 版))
http://tools.ietf.org/html/draft-veltri-sip-alt-auth-00
[21] draft-ietf-http-digest-auth-a3a8-01 - Hypertext Transfer Protocol (HTTP) Digest Authentication using Global System for Mobile Communications (GSM) A3 and A8
( (2014-10-17 11:40:05 +09:00 版))
http://tools.ietf.org/html/draft-ietf-http-digest-auth-a3a8-01