在iPhone上使用HTTP摘要认证

首先，要忘记HTTP会话，因为它们不与Digest身份验证活动登录交互（有一种会话信息能力，但它是不同的）。
实际上，使用Digest的主要原因之一是不必使用会话来维护已登录状态。会话很重，并且会影响可扩展性。
我不能确定您的问题是什么，但我知道我要首先检查的是正确使用过期和正确创建nonce。
如果用户代理被要求处理相同的nonce，或者在稍后的另一种情况下（更容易按照这个顺序解释），则只有在不重新查询用户的情况下才能处理身份验证。
如果您在每个请求中使用相同的nonce，则用户代理将继续使用它以及用户/密码的“ha1”来请求后续资源。这是预先完成的，因此挑战从未发生。
当然，使用相同的nonce引入了一定的不安全因素，因为可以窃听流量的任何人都可以轻松地进行重放攻击。 Nonce将不得不定期更改。
因此，如果您从用户代理收到具有无效授权标头的请求，但其无效的原因是nonce错误（它正在使用过期的nonce），则在您的挑战中包括“stale = true”（默认为false）。这通知用户代理您拒绝的原因是nonce已过期（当然，其他信息也可能错误，但无论如何您都不会让其播放）。
在收到这样的stale = true后，用户代理将知道它未经授权，但不会重新查询用户（或者如果它是无UI组件，则抛出异常），而是使用新的nonce重试旧标准。
我不能确定任何这些是否影响您，但nonce和陈旧性的确定和信号方式肯定是我要看的第一件事。

我已经编写了一个带有HTTP身份验证的iPhone应用程序，并且遇到了您所描述的问题。（我的应用程序使用基本身份验证而不是摘要身份验证，在这里并没有太大的区别。）

问题的原因在于iPhone端。如果iPhone没有在HTTP请求头中发送凭据，则服务器需要回答401。实际上，即使凭据存储在凭据存储中，iPhone也不会轻易地发送凭据。

这种奇怪的行为对应用程序的速度产生了严重影响，因为每个请求都会导致两次往返服务器而不是一次（第一次状态为401，第二次为200）。

我通过手动设置HTTP请求头中的凭据来解决了这个问题：

NSString* credentials = [NSString stringWithFormat: @"%@:%@", usr, pwd];
const char* credentialsChars = [credentials cStringUsingEncoding: NSUTF8StringEncoding];
credentials = [CommunicationUtil stringBase64WithData: (const UInt8*) credentialsChars length: strlen(credentialsChars)];
NSString* authorizationHeader = [NSString stringWithFormat: @"Basic %@", credentials];

NSMutableURLRequest* request =
    [[NSMutableURLRequest alloc] initWithURL: url 
        cachePolicy: NSURLRequestReloadIgnoringLocalCacheData
        timeoutInterval: 15];

    [request setValue: authorizationHeader forHTTPHeaderField: @"Authorization"];

现在我的应用程序运行非常流畅，响应速度也很快。

对于摘要认证，解决方案会略有不同。但是你会明白的。