Postman 摘要授权请求返回401 Unauthorized

Question

我在 Chrome 51.0.2704.63 中使用 Postman 4.4.1。我已经用 Tomcat6 建立了一个 web 项目，web.xml 如下：

<web-app>
    <display-name>Archetype Created Web Application</display-name>
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>
                My App
            </web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>tomcat</role-name>
        </auth-constraint>
    </security-constraint>

    <login-config>
        <auth-method>DIGEST</auth-method>  <!-- DIGEST here -->
        <realm-name>My Realm</realm-name>
    </login-config>
</web-app>

当我使用本地浏览器访问http://localhost:8080/simple-web/ 时，会弹出一个窗口让我输入用户名和密码。填充后，效果很好。 当我使用Postman时，我在授权页面中输入用户名和密码，然后选择Digest Auth的类型。它总是向我显示401 Unauthrized。 我可以看到标题：

Cache-Control →no-cache
Content-Length →954
Content-Type →text/html;charset=utf-8
Date →Fri, 29 Jul 2016 10:26:20 GMT
Expires →Thu, 01 Jan 1970 08:00:00 CST
Pragma →No-cache
Server →Apache-Coyote/1.1
WWW-Authenticate →Digest realm="My Realm", qop="auth", nonce="dcb71e7d6766f85c3f233b7b74e42423", opaque="4894d1ece1380278a451585e9b548e21"

谁能知道原因以及如何解决？

Answer 1

从一开始，我就使用了带有摘要身份验证的两步流程构建请求从 Firebug 构建请求并发送它，然后将随机数和有时不透明的 401 复制到摘要字段中，然后重新发送成功。 论坛上的讨论让我相信这仍然是一个问题。我正在使用 5.1.2 Windows 应用程序。 当我粘贴 url 并返回预期的响应时，我根据我在 Firebug 中看到的内容建模我的初始请求。

Answer 2

迟到的答案，但在我的团队也在为此苦苦挣扎时将其发布在这里，而这只是仔细阅读文档的问题。

根据Postman documentation，

(..) 服务器响应一些细节，包括只能使用一次的数字（随机数）、领域值和 401 未授权响应。然后，您发送回一个加密的数据数组，包括用户名和密码以及在第一个请求中从服务器接收到的数据。

由于它已经在您提供的输出中可见，因此确实为您提供了 nonce、qop 和 opaque 值。因此，在获得 401 响应的初始请求之后，您将创建另一个，它与前一个几乎相同，只是设置了额外的 nonce、qop 和 opaque 值。