[pyar] autenticacion API

[Claudio Freire]

2013/8/14 Andres Riancho <andres.riancho en gmail.com>:
> 2013/8/14 Claudio Freire <klaussfreire en gmail.com>:
>> 2013/8/14 Andres Riancho <andres.riancho en gmail.com>:
>>> Algunas (pocas) librerias de HTTP no soportan digest (salvo que le
>>> agregues algun handler) y queres joder lo menos posible al usuario
>>> final. Por ejemplo, si alquien quiere consumir esta API con digest
>>> desde JS con Jquery tiene que instalar algo como [0][1]
>>
>>
>> jQuery es mal ejemplo, porque jQuery lo soporta (es el browser el que
>> soporta), sólo tenés que pasarle un "use_credentials" o algo así.
>>
>> Te quedás sin excusas ;)
>
> Seguro que se xmlhttprequest con digest sin agregados [0]? Si es asi,
> definitivamente aprendi algo nuevo!
>
> [0] http://stackoverflow.com/questions/7159551/is-it-possible-to-use-digest-authentication-with-a-xmlhttprequest

Te sugiero que pruebes.

xmlhttprequest tiene restricciones de seguridad, así que tenés que
decirle que puede usar credenciales.

Una vez que se lo decís, digest no es diferente de basic, lo
implementa el browser, así que no debería haber diferencia alguna. El
flujo va: hace el pedido http, el server responde 401 unauthorized,
con un header que le dice qué tipos de autenticación soporta (ahí se
incluye digest-md5 o como sea que se identifique). El browser
reintenta, con el password encodeado en el esquema pedido. Es lo mismo
para basic y para digest, no veo por qué podrías usar basic y no
digest.

Debería funcionar, siempre que le dejes al browser pedir el password
él mismo (o sea, no setees user/pass en el pedido)[1]. Si está
implementado o no y en qué browser... es otro tema.

[1] http://stackoverflow.com/questions/15836357/can-xmlhttprequest-access-the-authorization-header-in-firefox