Flash Actionscript NTLM 身份验证示例？

Question

有没有人有一个使用 NTLM 身份验证从 ActionScript 3.0 调用 Web 服务的示例。 adobe livedocs 列出了支持的 NTLM 身份验证，但我不知道在哪里传递用户凭据。

谢谢， 彼得

Answer 1

我相当确定，除非使用 Adob​​e AIR，否则这是不可能直接实现的。 LiveDocs 中的身份验证信息仅适用于 AIR（方法名称旁边的小符号表示这一点）。

从一些关于 NTLM over HTTP 的快速阅读来看，它看起来需要您根据从服务器返回的 HTTP 状态代码执行多个请求。 这本身就可能存在问题，因为 Flash 在提供这些代码方面充其量是不稳定的。

此外，NTLM 是一种基于连接的方案，要求您在第二个和第三个请求之间保持连接处于活动状态。 Flash 无法发送 keep-alive 标头，也无法创建持久连接。 我倾向于认为这消除了 Flash 在 AS3 中本地进行 NTLM 身份验证的可能性。

但是，我不是 NTLM 专家，并且我引用的文档似乎不是 NTLM over HTTP 规范的官方版本。 我不会说通过 Flash 验证 NTLM 是不可能的——只是看起来无论如何都会非常非常困难。

Answer 2

这在 ActionScript 中是可能的。 服务器将通过向浏览器询问 NTLM 凭据来质疑您发出的每个请求。 然后 Internet Explorer 附加适当的授权标头。 接下来，服务器将验证凭据并提供内容或拒绝访问。

由于所有这些都是在 Flash Player 沙箱不知情的情况下完成的，因此这是我们（沙箱中的开发人员）无法控制的。 因此，我们不能在发出初始请求之前使用 ActionScript 预先附加 NTLM 授权标头，这将绕过“挑战”阶段。 在 Silverlight 中也是如此。