使用 NSURLSession 的 HTTP 基本身份验证

【问题标题】:HTTP Basic Auth with NSURLSession使用 NSURLSession 的 HTTP 基本身份验证
【发布时间】:2017-03-21 07:04:30
【问题描述】:

我正在尝试使用NSURLSession 实现 HTTP 基本身份验证,但遇到了几个问题。请在回答之前阅读整个问题,我怀疑这是与其他问题的重复。

根据我运行的测试,NSURLSession 的行为如下:

  • 第一个请求总是不带Authorization 标头。
  • 如果第一个请求失败并带有 401 Unauthorized 响应和 WWW-Authenticate Basic realm=... 标头,则会自动重试。
  • 在重试请求之前,会话将尝试通过查看会话配置的NSURLCredentialStorage 或调用URLSession:task:didReceiveChallenge:completionHandler: 委托方法(或两者)来获取凭据。
  • 如果可以获取凭据,则使用正确的 Authorization 标头重试请求。如果不是,则在没有标头的情况下重试(这很奇怪,因为在这种情况下,这是完全相同的请求)。
  • 如果第二个请求成功,任务会透明地报告为成功,您甚至不会收到请求已尝试两次的通知。如果不是,则报告第二个请求失败(但不是第一个)。

这种行为的问题是我通过多部分请求将大文件上传到我的服务器,所以当请求被尝试两次时,整个POST 正文被发送两次,这是一个可怕的开销。

我尝试手动将Authorization 标头添加到会话配置的httpAdditionalHeaders,但只有在创建会话之前设置了该属性才有效。之后尝试修改session.configuration.httpAdditionalHeaders 不起作用。此外,文档明确指出不应手动设置 Authorization 标头。

所以我的问题是:如果我需要在获得凭据之前启动会话,并且如果我想确保第一次总是使用正确的 Authorization 标头发出请求,我该怎么办?

这是我用于测试的代码示例。你可以用它重现我上面描述的所有行为。

请注意,为了能够看到双重请求,您需要使用自己的 http 服务器并记录请求或通过记录所有请求的代理连接(我为此使用了 Charles Proxy

class URLSessionTest: NSObject, URLSessionDelegate
{
    static let shared = URLSessionTest()

    func start()
    {
        let requestURL = URL(string: "https://httpbin.org/basic-auth/username/password")!
        let credential = URLCredential(user: "username", password: "password", persistence: .forSession)
        let protectionSpace = URLProtectionSpace(host: "httpbin.org", port: 443, protocol: NSURLProtectionSpaceHTTPS, realm: "Fake Realm", authenticationMethod: NSURLAuthenticationMethodHTTPBasic)

        let useHTTPHeader = false
        let useCredentials = true
        let useCustomCredentialsStorage = false
        let useDelegateMethods = true

        let sessionConfiguration = URLSessionConfiguration.default

        if (useHTTPHeader) {
            let authData = "\(credential.user!):\(credential.password!)".data(using: .utf8)!
            let authValue = "Basic " + authData.base64EncodedString()
            sessionConfiguration.httpAdditionalHeaders = ["Authorization": authValue]
        }
        if (useCredentials) {
            if (useCustomCredentialsStorage) {
                let urlCredentialStorage = URLCredentialStorage()
                urlCredentialStorage.set(credential, for: protectionSpace)
                sessionConfiguration.urlCredentialStorage = urlCredentialStorage
            } else {
                sessionConfiguration.urlCredentialStorage?.set(credential, for: protectionSpace)
            }
        }

        let delegate = useDelegateMethods ? self : nil
        let session = URLSession(configuration: sessionConfiguration, delegate: delegate, delegateQueue: nil)

        self.makeBasicAuthTest(url: requestURL, session: session) {
            self.makeBasicAuthTest(url: requestURL, session: session) {
                DispatchQueue.main.asyncAfter(deadline: .now() + 61.0) {
                    self.makeBasicAuthTest(url: requestURL, session: session) {}
                }
            }
        }
    }

    func makeBasicAuthTest(url: URL, session: URLSession, completion: @escaping () -> Void)
    {
        let task = session.dataTask(with: url) { (data, response, error) in
            if let response = response {
                print("response : \(response)")
            }
            if let data = data {
                if let json = try? JSONSerialization.jsonObject(with: data, options: .allowFragments) {
                    print("json : \(json)")
                } else if data.count > 0, let string = String(data: data, encoding: .utf8) {
                    print("string : \(string)")
                } else {
                    print("data : \(data)")
                }
            }
            if let error = error {
                print("error : \(error)")
            }
            print()
            DispatchQueue.main.async(execute: completion)
        }
        task.resume()
    }

    @objc(URLSession:didReceiveChallenge:completionHandler:)
    func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Swift.Void)
    {
        print("Session authenticationMethod: \(challenge.protectionSpace.authenticationMethod)")
        if (challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodHTTPBasic) {
            let credential = URLCredential(user: "username", password: "password", persistence: .forSession)
            completionHandler(.useCredential, credential)
        } else {
            completionHandler(.performDefaultHandling, nil)
        }
    }

    @objc(URLSession:task:didReceiveChallenge:completionHandler:)
    func urlSession(_ session: URLSession, task: URLSessionTask, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Swift.Void)
    {
        print("Task authenticationMethod: \(challenge.protectionSpace.authenticationMethod)")
        if (challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodHTTPBasic) {
            let credential = URLCredential(user: "username", password: "password", persistence: .forSession)
            completionHandler(.useCredential, credential)
        } else {
            completionHandler(.performDefaultHandling, nil)
        }
    }
}

注意 1:当向同一个端点连续发出多个请求时,我上面描述的行为只涉及第一个请求。第一次尝试使用正确的Authorization 标头来尝试后续请求。但是,如果您等待一段时间(大约 1 分钟),会话将恢复到默认行为(第一次请求尝试了两次)。

注意 2:这没有直接关系,但是使用自定义的 NSURLCredentialStorage 用于会话配置的 urlCredentialStorage 似乎不起作用。只有使用默认值(根据文档是共享的NSURLCredentialStorage)才有效。

注意 3:我尝试过使用 Alamofire,但由于它基于 NSURLSession,因此其行为方式完全相同。

【问题讨论】:

  • 为什么不让第一个请求除了获得正确的授权标头之外什么都不做呢?下一个请求(及以后)完成所有繁重的工作。
  • 尽量不要覆盖didReceiveChallenge
  • @GlennRay 这是一个丑陋的解决方案,我什至不想考虑。仍然无缘无故地消耗带宽,正如我所说,这不仅仅是会话的第一个请求,而是每次你停留大约 1 分钟而不发送任何内容时的第一个请求,所以这也是非常不切实际的。
  • @RunLoop 试过了。还要尝试在完成处理程序中使用所有可能的答案。没用。
  • 尝试使用 ephemeral 选项设置 NSURLSession,并且仅使用附加标头选项设置授权。

标签: ios http nsurlsession basic-authentication urlsession


【解决方案1】:

如果可能,服务器应该在客户端完成发送正文之前很久就响应错误。但是,在许多高级服务器端语言中,这很困难,并且无法保证即使您这样做也会停止上传。

真正的问题是您正在使用单个 POST 请求执行大型上传。这会使身份验证出现问题,并且如果连接在上传中途断开,还会阻止任何有用的继续上传。分块上传基本上可以解决您的所有问题:

  • 对于您的第一个请求,仅发送适合的数量而不添加额外的以太网数据包,即计算您的典型标头大小,以 1500 字节为模,添加几十个字节以获得良好的度量,从 1500 中减去,并为您的第一个块硬编码该大小。最多浪费了几个包。

  • 对于后续的块,将大小调大。

  • 当请求失败时,询问服务器它得到了多少,然后从上传中断的地方重试。

  • 上传完成后发出请求通知服务器。

  • 使用 cron 作业或其他方式定期清除服务器端的部分上传。

也就是说,如果您无法控制服务器端,通常的解决方法是在您的 POST 请求之前发送经过身份验证的 GET 请求。这可以最大限度地减少浪费的数据包,同时只要网络可靠,大部分时间仍然可以正常工作。

【讨论】:

  • 感谢您的回答。我已经在进行分块上传,但块本身仍然很大。现在我找到了一种将正确的标头注入每个请求的方法,这样它就可以工作了。我希望有一个URLSession 级别的解决方案。我发现我无法预先配置身份验证而不得不等待请求失败,这让我感到非常惊讶。我觉得我在这个 API 上遗漏了一些东西。
  • 那么为什么不把第一个块配置成很小的——比如 500 字节?
  • 块的大小是固定的,我不想因为 iOS 错误而重写服务器端代码 :)
猜你喜欢
  • 1970-01-01
  • 2016-07-11
  • 2021-03-21
  • 2011-11-12
  • 2011-05-05
  • 1970-01-01
  • 1970-01-01
  • 2021-04-30
  • 2012-09-08
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode