Проверка подлинности HTTP POST с полезной нагрузкой XML с использованием Python urllib2 - PullRequest
Новая
       24

Проверка подлинности HTTP POST с полезной нагрузкой XML с использованием Python urllib2

6 голосов
/ 02 июля 2010

Я пытаюсь отправить сообщение POST с чисто XML-данными (я думаю), используя urllib2 в IronPython. Однако каждый раз, когда я отправляю его, он возвращает код ошибки 400 (неверный запрос).

Я на самом деле пытаюсь имитировать вызов элемента удаления очереди Boxee, для которого фактические пакеты данных выглядят так (из WireShark): 

POST /action/add HTTP/1.1
User-Agent: curl/7.16.3 (Windows  build 7600; en-US; beta) boxee/0.9.21.11487
Host: app.boxee.tv
Accept: */*
Accept-Encoding: deflate, gzip
Cookie: boxee_ping_version=9; X-Mapping-oompknoc=76D730BC9E858725098BF13AEFE32EB5; boxee_app=e01e36e85d368d4112fe4d1b6587b1fd
Connection: keep-alive
Content-Type: text/xml
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Language: en-us,en;q=0.5
Keep-Alive: 300
Connection: keep-alive
Content-Length: 53

<message type="dequeue" referral="3102296"></message>

Я использую следующий код Python для отправки POST: 

def PostProtectedPage(theurl, username, password, postdata):

    req = urllib2.Request(theurl, data=postdata)
    req.add_header('Content-Type', 'text/xml')
    try:
        handle = urllib2.urlopen(req)
    except IOError, e:                  # here we are assuming we fail
        pass
    else:                               # If we don't fail then the page isn't protected
        print "This page isn't protected by authentication."
        sys.exit(1)

    if not hasattr(e, 'code') or e.code != 401:                 # we got an error - but not a 401 error
        print "This page isn't protected by authentication."
        print 'But we failed for another reason.'
        sys.exit(1)

    authline = e.headers.get('www-authenticate', '')                # this gets the www-authenticat line from the headers - which has the authentication scheme and realm in it
    if not authline:
        print 'A 401 error without an authentication response header - very weird.'
        sys.exit(1)

    authobj = re.compile(r'''(?:\s*www-authenticate\s*:)?\s*(\w*)\s+realm=['"](\w+)['"]''', re.IGNORECASE)          # this regular expression is used to extract scheme and realm
    matchobj = authobj.match(authline)
    if not matchobj:                                        # if the authline isn't matched by the regular expression then something is wrong
        print 'The authentication line is badly formed.'
        sys.exit(1)
    scheme = matchobj.group(1) 
    realm = matchobj.group(2)
    if scheme.lower() != 'basic':
        print 'This example only works with BASIC authentication.'
        sys.exit(1)

    base64string = base64.encodestring('%s:%s' % (username, password))[:-1]
    authheader =  "Basic %s" % base64string
    req.add_header("Authorization", authheader)
    try:
        handle = urllib2.urlopen(req)
    except IOError, e:                  # here we shouldn't fail if the username/password is right
        print "It looks like the username or password is wrong."
        print e
        sys.exit(1)
    thepage = handle.read()
    return thepage

Однако всякий раз, когда я запускаю это, он возвращает ошибку 400 (неверный запрос)
Я знаю, что аутентификация правильна, потому что я использую ее в другом месте для извлечения очереди (и я не могу представить, что она не используется, иначе как теперь будет, к какой учетной записи применить изменение?)

Глядя на захват сети, могу ли я просто не добавить несколько заголовков в запрос? Возможно, что-то простое, но я просто недостаточно знаю о Python или HTTP-запросах, чтобы знать, что к чему.

Редактировать : Кстати, я называю код следующим образом (он на самом деле динамический, но это основная идея): 

PostProtectedPage("http://app.boxee.tv/action/add", "user", "pass", "<message type=\"dequeue\" referral=\"3102296\"></message>")

1 Ответ

0 голосов
/ 23 мая 2011

У меня сработало нормально: 

curl -v -A 'curl/7.16.3 (Windows  build 7600; en-US; beta) boxee/0.9.21.11487' \
 -H 'Content-Type: text/xml' -u "USER:PASS" \
 --data '<message type="dequeue" referral="12573293"></message>' \
 'http://app.boxee.tv/action/add'

Но я получаю 400 Bad Request, если пытаюсь удалить идентификатор реферала, которого в данный момент нет в очереди.Если вы используете тот же идентификатор реферала, который вы обнаружили в Wireshark, то, скорее всего, это произойдет и с вами.Используйте 

wget -nv -m -nd --user=USER --password=PASS http://app.boxee.tv/api/get_queue

, чтобы убедиться, что то, что вы пытаетесь удалить, действительно находится в очереди.

...