Tôi muốn truy cập một URL yêu cầu tên người dùng / mật khẩu. Tôi muốn thử truy cập nó với curl. Ngay bây giờ tôi đang làm một cái gì đó như:
curl http://api.somesite.com/test/blah?something=123
Tôi nhận được một lỗi. Tôi đoán tôi cần chỉ định tên người dùng và mật khẩu cùng với lệnh trên.
Làm thế nào tôi có thể làm điều đó?
Câu trả lời:
Sử dụng -ucờ để bao gồm tên người dùng và curl sẽ nhắc nhập mật khẩu:
curl -u username http://example.com
Bạn cũng có thể bao gồm mật khẩu trong lệnh, nhưng sau đó mật khẩu của bạn sẽ hiển thị trong lịch sử bash:
curl -u username:password http://example.com
print -- '-u username:password' > somewhere && curl -K somewhere http://...
--netrc-file) an toàn hơn. Nó giữ mật khẩu ngoài lịch sử, ps, tập lệnh của bạn, v.v ... Đó là hình thức duy nhất tôi sử dụng trong tất cả các tập lệnh của mình và cho tất cả các cách sử dụng được xác thực curl.
An toàn hơn để làm:
curl --netrc-file my-password-file http://example.com
... khi chuyển một chuỗi người dùng / mật khẩu đơn giản trên dòng lệnh, là một ý tưởng tồi.
Định dạng của tệp mật khẩu là (theo man curl):
machine <example.com> login <username> password <password>
Ghi chú:
https://hoặc tương tự! Chỉ là tên máy chủ.machine', ' login' và ' password' chỉ là từ khóa; thông tin thực tế là những thứ sau những từ khóa đó.-K <file>hoặc --config <file>để nhận cờ cuộn qua tệp hoặc đầu vào tiêu chuẩn. (Cảnh báo: không được nhầm lẫn với -khoặc --insecure!)
.netrctệp Cleartext với các quyền nghiêm ngặt phù hợp, vì vậy chỉ người dùng của bạn mới có thể đọc nó, hơn các cơ chế khác (ví dụ như dòng lệnh) cho phép người dùng khác đọc thông tin.
Hoặc cùng một điều nhưng cú pháp khác nhau
curl http://username:password@api.somesite.com/test/blah?something=123
start "" "http://username:password@api.somesite.com/test/blah?something=123". Nó có thể được phóng từ bất cứ đâu. Điều đó cũng áp dụng cho thông tin đăng nhập ftp; D
Để truyền mật khẩu một cách an toàn trong tập lệnh (nghĩa là ngăn nó hiển thị với ps auxf hoặc nhật ký), bạn có thể thực hiện với cờ -K- (đọc cấu hình từ stdin) và một di sản:
curl --url url -K- <<< "--user user:password"
--configtùy chọn (-K) ... có thể một giải pháp tốt hơn sẽ là đưa "--user user: password" vào một tệp và đơn giản là -K the filebạn chỉ có một bản sao của mật khẩu thay vì một bản sao trong mỗi tập lệnh . Dễ dàng hơn nhiều để bảo mật một tập tin duy nhất.
cat "${password_filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-. Tôi đã phải đặt -K-trước url cho bash macOS cũ, YMMV.
Thông thường lệnh CURL gọi là
curl https://example.com\?param\=ParamValue -u USERNAME:PASSWORD
nếu bạn không có bất kỳ mật khẩu nào hoặc muốn bỏ qua dấu nhắc lệnh để yêu cầu mật khẩu, hãy để trống phần mật khẩu.
I E curl https://example.com\?param\=ParamValue -u USERNAME:
curl -X GET -u username:password {{ http://www.example.com/filename.txt }} -O
Để cho mật khẩu ít nhất không bật lên trong .bash_history:
curl -u user:$(cat .password-file) http://example-domain.tld
ps auxw |grep curlđúng lúc. Tương tự, mật khẩu sẽ được ghi lại nếu chạy quasudo
khá dễ dàng, làm như sau:
curl -X GET/POST/PUT <URL> -u username:password
Các câu trả lời khác đã đề nghị netrc chỉ định tên người dùng và mật khẩu, dựa trên những gì tôi đã đọc, tôi đồng ý. Dưới đây là một số chi tiết cú pháp:
https://ec.haxx.se/USEcurl-netrc.html
Giống như các câu trả lời khác, tôi muốn nhấn mạnh sự cần thiết phải chú ý đến bảo mật liên quan đến câu hỏi này.
Mặc dù tôi không phải là một chuyên gia, tôi thấy những liên kết này sâu sắc:
https://ec.haxx.se/cmdline-passwords.html
Để tóm tắt:
Sử dụng các phiên bản được mã hóa của các giao thức (HTTPS vs HTTP) (FTPS vs FTP) có thể giúp tránh Rò rỉ Mạng.
Sử dụng netrc có thể giúp tránh rò rỉ dòng lệnh.
Để tiến thêm một bước, có vẻ như bạn cũng có thể mã hóa các tệp netrc bằng gpg
https://brandur.org/fragments/gpg-curl
Với điều này, thông tin của bạn không phải là "nghỉ ngơi" (được lưu trữ) dưới dạng văn bản thuần túy.
Đơn giản và đơn giản là cách an toàn nhất sẽ là sử dụng các biến môi trường để lưu trữ / truy xuất thông tin đăng nhập của bạn. Do đó, một lệnh curl như:
curl -Lk -XGET -u "${API_USER}:${API_HASH}" -b cookies.txt -c cookies.txt -- "http://api.somesite.com/test/blah?something=123"
Sau đó sẽ gọi api nghỉ ngơi của bạn và vượt qua WWW_Authenticationtiêu đề http với các giá trị được mã hóa Base64 của API_USERvà API_HASH. Việc này -Lkchỉ cho curl theo dõi chuyển hướng http 30x và sử dụng xử lý tls không an toàn (tức là bỏ qua lỗi ssl). Trong khi double --chỉ là bash cú pháp đường để dừng xử lý cờ dòng lệnh. Hơn nữa, cờ -b cookies.txtvà -c cookies.txtxử lý cookie bằng -bcách gửi cookie và -clưu trữ cookie cục bộ.
Hướng dẫn có nhiều ví dụ về các phương thức xác thực .
Bạn có thể sử dụng lệnh như,
curl -u user-name -p http://www.example.com/path-to-file/file-name.ext > new-file-name.ext
Sau đó, mật khẩu HTTP sẽ được kích hoạt.
Tham khảo: http://www.aseem.com/article/how-use-curl-http-password-protected-site
Cách an toàn nhất để chuyển thông tin đăng nhập để cuộn tròn là được nhắc chèn chúng. Đây là những gì xảy ra khi chuyển tên người dùng như được đề xuất trước đó ( -u USERNAME).
Nhưng nếu bạn không thể vượt qua tên người dùng theo cách đó thì sao? Ví dụ, tên người dùng có thể cần phải là một phần của url và chỉ mật khẩu là một phần của tải trọng json.
tl; dr: Đây là cách sử dụng curl an toàn trong trường hợp này:
read -p "Username: " U; read -sp "Password: " P; curl --request POST -d "{\"password\":\"${P}\"}" https://example.com/login/${U}; unset P U
read sẽ nhắc cho cả tên người dùng và mật khẩu từ dòng lệnh và lưu trữ các giá trị được gửi trong hai biến có thể được tham chiếu trong các lệnh tiếp theo và cuối cùng không được đặt.
Tôi sẽ giải thích lý do tại sao các giải pháp khác không lý tưởng.
Tại sao các biến môi trường không an toàn
Tại sao không an toàn khi nhập trực tiếp vào lệnh trên dòng lệnh
Vì bí mật của bạn cuối cùng sẽ được hiển thị bởi bất kỳ người dùng nào khác đang chạy ps -auxvì liệt kê các lệnh được gửi cho mỗi quy trình hiện đang chạy. Cũng bởi vì secrte của bạn sau đó kết thúc trong lịch sử bash (một khi shell kết thúc).
Tại sao không an toàn khi đưa nó vào tệp cục bộ Hạn chế truy cập POSIX nghiêm ngặt trên tệp có thể giảm thiểu rủi ro trong kịch bản này. Tuy nhiên, nó vẫn là một tệp trên hệ thống tệp của bạn, không được mã hóa khi nghỉ ngơi.
Tôi có cùng nhu cầu trong bash (Ubuntu 16.04 LTS) và các lệnh được cung cấp trong các câu trả lời không hoạt động trong trường hợp của tôi. Tôi đã phải sử dụng:
curl -X POST -F 'username="$USER"' -F 'password="$PASS"' "http://api.somesite.com/test/blah?something=123"
Dấu ngoặc kép trong các -Fđối số chỉ cần thiết nếu bạn đang sử dụng các biến, do đó từ dòng lệnh ... -F 'username=myuser' ...sẽ ổn.
Thông báo bảo mật có liên quan: như ông Mark Ribau chỉ ra trong các bình luận, lệnh này hiển thị mật khẩu (biến $ PASS, được mở rộng) trong danh sách quy trình!
Nếu bạn đang sử dụng hệ thống khóa ứng dụng Gnome, một giải pháp tránh lộ mật khẩu trực tiếp là sử dụng gkeyring.py để trích xuất mật khẩu từ khóa:
server=server.example.com
file=path/to/my/file
user=my_user_name
pass=$(gkeyring.py -k login -tnetwork -p user=$user,server=$server -1)
curl -u $user:$pass ftps://$server/$file -O
Đây là RẤT NHIỀU so với OP yêu cầu, nhưng vì đây là kết quả hàng đầu để chuyển mật khẩu an toàn đến curl, tôi đang thêm các giải pháp này vào đây cho những người khác đến đây để tìm kiếm.
LƯU Ý: -sarg cho readlệnh không phải là POSIX và do đó không có sẵn ở mọi nơi, vì vậy nó sẽ không được sử dụng bên dưới. Chúng tôi sẽ sử dụng stty -echovà stty echothay vào đó.
LƯU Ý: Thay vào đó, tất cả các biến bash bên dưới có thể được khai báo là cục bộ nếu trong một hàm, thay vì bỏ đặt.
LƯU Ý: perlthường khá khả dụng trên tất cả các hệ thống mà tôi đã thử do nó phụ thuộc vào nhiều thứ, trong khi rubyvà pythonkhông, vì vậy sử dụng perlở đây. Nếu bạn có thể đảm bảo ruby/ pythonnơi bạn đang làm điều này, bạn có thể thay thế perllệnh bằng tương đương của chúng.
LƯU Ý: Đã thử nghiệm trong bash3.2.57 trên macOS 10.14.4. Một số bản dịch nhỏ có thể được yêu cầu cho các shell / cài đặt khác.
An toàn nhắc người dùng nhập mật khẩu (có thể sử dụng lại) để chuyển sang cuộn tròn. Đặc biệt hữu ích nếu bạn cần gọi curl nhiều lần.
Đối với hệ vỏ hiện đại, nơi tích echohợp (kiểm tra qua which echo):
url='https://example.com'
printf "Username: "
read username
printf "Password: "
stty -echo # disables echoing user input, POSIX equivalent for 'read -s'
read pass
printf "\n" # we need to move the line ahead
stty echo # re-enable echoing user input
echo ${pass} | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
unset username
unset pass
Đối với các vỏ cũ hơn, nơi echogiống như /bin/echo(nơi mà bất kỳ âm vang nào có thể được nhìn thấy trong danh sách quy trình):
PHIÊN BẢN NÀY KHÔNG THỂ SỬ DỤNG PASSWORD , thay vào đó, hãy xem phía dưới.
url='https://example.com'
printf "Username: "
read username
printf "Password: "
stty -echo # disables echoing user input, POSIX equivalent for 'read -s'
perl -e '
my $val=<STDIN>;
chomp $val;
print STDERR "\n"; # we need to move the line ahead, but not send a newline down the pipe
print $val;
' | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
stty echo # re-enable echoing user input
unset username
Nếu bạn tình cờ cần lưu trữ mật khẩu tạm thời vào một tệp, hãy sử dụng lại nó cho nhiều lệnh trước khi xóa nó (giả sử vì bạn đang sử dụng các hàm để sử dụng lại mã và không muốn lặp lại mã và không thể lặp lại mã truyền giá trị xung quanh thông qua tiếng vang). (Vâng, đây là một chút giả định trong hình thức này không phải là chức năng trong các thư viện khác nhau; tôi đã cố gắng giảm chúng xuống mã tối thiểu cần thiết để hiển thị nó.)
Khi echo được tích hợp sẵn (điều này đặc biệt được tạo ra, vì echo là một tích hợp, nhưng được cung cấp cho sự hoàn chỉnh):
url='https://example.com'
filepath="$(mktemp)" # random path, only readable by current user
printf "Username: "
read username
printf "Password: "
stty -echo # disables echoing user input, POSIX equivalent for 'read -s'
read pass
echo "${pass}" > "${filepath}"
unset pass
printf "\n" # we need to move the line ahead
stty echo # re-enable echoing user input
cat "${filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
rm "${filepath}" # don't forget to delete the file when done!!
unset username
Khi tiếng vang là một cái gì đó như /bin/echo:
url='https://example.com'
filepath="$(mktemp)" # random path, only readable by current user
printf "Username: "
read username
printf "Password: "
stty -echo # disables echoing user input, POSIX equivalent for 'read -s'
$(perl -e '
my $val=<STDIN>;
chomp $val;
open(my $fh, ">", $ARGV[0]) or die "Could not open file \"$ARGV[0]\" $\!";
print $fh $val;
close $fh;
' "$filepath")
printf "\n" # we need to move the line ahead
stty echo # re-enable echoing user input
cat "${filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
rm "${filepath}" # don't forget to delete the file when done!!
unset username