Verwenden Sie cURL mit einem Benutzernamen und einem Passwort?

Ich möchte auf eine URL zugreifen, für die ein Benutzername / Passwort erforderlich ist. Ich würde gerne versuchen, mit Curl darauf zuzugreifen. Im Moment mache ich so etwas wie:

curl http://api.somesite.com/test/blah?something=123

Ich bekomme eine Fehlermeldung. Ich denke, ich muss einen Benutzernamen und ein Passwort zusammen mit dem obigen Befehl angeben.

Wie kann ich das machen?

Verwenden Sie das -uFlag, um einen Benutzernamen anzugeben, und curl fordert Sie zur Eingabe eines Kennworts auf:

curl -u username http://example.com

Sie können das Passwort auch in den Befehl aufnehmen, aber dann wird Ihr Passwort im Bash-Verlauf angezeigt:

curl -u username:password http://example.com

Es ist sicherer zu tun:

curl --netrc-file my-password-file http://example.com

... da das Übergeben einer einfachen Benutzer- / Kennwortzeichenfolge in der Befehlszeile eine schlechte Idee ist.

Das Format der Passwortdatei ist (gemäß man curl):

machine <example.com> login <username> password <password>

Hinweis:

1. Maschinenname darf nicht enthalten https://oder ähnlich sein! Nur der Hostname.
2. Die Wörter ' machine', ' login' und ' password' sind nur Schlüsselwörter; Die eigentliche Information ist das Zeug nach diesen Schlüsselwörtern.

Oder das Gleiche, aber eine andere Syntax

curl http://username:[email protected]/test/blah?something=123

Sie können den Benutzernamen auch einfach schriftlich senden:

curl -u USERNAME http://server.example

Curl fragt Sie dann nach dem Passwort und das Passwort wird nicht auf dem Bildschirm angezeigt (oder wenn Sie den Befehl kopieren / einfügen müssen).

Um das Passwort in einem Skript sicher zu übergeben (dh zu verhindern, dass es mit ps auxf oder logs angezeigt wird), können Sie dies mit dem -K-Flag (Konfiguration von stdin lesen) und einem Heredoc tun:

curl --url url -K- <<< "--user user:password"

Normalerweise wird der Befehl CURL als bezeichnet

curl https://example.com\?param\=ParamValue -u USERNAME:PASSWORD

Wenn Sie kein Passwort haben oder die Eingabeaufforderung überspringen möchten, um ein Passwort anzufordern, lassen Sie einfach den Passwortabschnitt leer.

dh curl https://example.com\?param\=ParamValue -u USERNAME:

curl -X GET -u username:password  {{ http://www.example.com/filename.txt }} -O

Damit das Passwort nicht in Ihrem .bash_history:

curl -u user:$(cat .password-file) http://example-domain.tld

ziemlich einfach, mach das folgende:

curl -X GET/POST/PUT <URL> -u username:password

Andere Antworten haben netrc vorgeschlagen, Benutzername und Passwort anzugeben, basierend auf dem, was ich gelesen habe. Ich stimme zu. Hier sind einige Syntaxdetails:

https://ec.haxx.se/usingcurl-netrc.html

Wie bei anderen Antworten möchte ich die Notwendigkeit hervorheben, bei dieser Frage auf die Sicherheit zu achten.

Obwohl ich kein Experte bin, fand ich diese Links aufschlussreich:

https://ec.haxx.se/cmdline-passwords.html

Zusammenfassen:

Die Verwendung der verschlüsselten Versionen der Protokolle (HTTPS vs HTTP) (FTPS vs FTP) kann dazu beitragen, Netzwerklecks zu vermeiden.

Die Verwendung von netrc kann dazu beitragen, Befehlszeilenlecks zu vermeiden.

Um noch einen Schritt weiter zu gehen, können Sie die netrc-Dateien anscheinend auch mit gpg verschlüsseln

https://brandur.org/fragments/gpg-curl

Damit werden Ihre Anmeldeinformationen nicht als Klartext "in Ruhe" (gespeichert).

Der einfachste und einfachste Weg wäre, Umgebungsvariablen zum Speichern / Abrufen Ihrer Anmeldeinformationen zu verwenden. So ein Curl-Befehl wie:

curl -Lk -XGET -u "${API_USER}:${API_HASH}" -b cookies.txt -c cookies.txt -- "http://api.somesite.com/test/blah?something=123"

Würde dann Ihre erholsame API aufrufen und den http- WWW_AuthenticationHeader mit den Base64-codierten Werten von API_USERund übergeben API_HASH. Das -Lknur weist curl an, http 30x-Weiterleitungen zu folgen und unsichere tls-Behandlung zu verwenden (dh SSL-Fehler zu ignorieren). Während das Double --nur Bash-Syntax ist, stoppt Sugar die Verarbeitung von Befehlszeilenflags. Darüber hinaus behandeln die Flags -b cookies.txtund -c cookies.txtCookies mit dem -bSenden von Cookies und dem -clokalen Speichern von Cookies.

Das Handbuch enthält weitere Beispiele für Authentifizierungsmethoden .

Sie können Befehl wie verwenden,

curl -u user-name -p http://www.example.com/path-to-file/file-name.ext > new-file-name.ext

Dann wird das HTTP-Passwort ausgelöst.

Referenz: http://www.asempt.com/article/how-use-curl-http-password-protected-site

Der sicherste Weg, Anmeldeinformationen an Curl zu übergeben, besteht darin, sie zum Einfügen aufzufordern. Dies geschieht, wenn der Benutzername wie zuvor vorgeschlagen übergeben wird ( -u USERNAME).

Aber was ist, wenn Sie den Benutzernamen nicht so weitergeben können? Beispielsweise muss der Benutzername möglicherweise Teil der URL sein und nur das Kennwort muss Teil einer JSON-Nutzlast sein.

tl; dr: So verwenden Sie Curl in diesem Fall sicher:

read -p "Username: " U; read -sp "Password: " P; curl --request POST -d "{\"password\":\"${P}\"}" https://example.com/login/${U}; unset P U

read fordert in der Befehlszeile zur Eingabe von Benutzername und Kennwort auf und speichert die übermittelten Werte in zwei Variablen, die in nachfolgenden Befehlen referenziert und schließlich deaktiviert werden können.

Ich werde näher darauf eingehen, warum die anderen Lösungen nicht ideal sind.

Warum sind Umgebungsvariablen unsicher?

1. Der Zugriffs- und Belichtungsmodus des Inhalts einer Umgebungsvariablen kann nicht verfolgt werden (ps -eww), da die Umgebung einem Prozess implizit zur Verfügung steht
2. Oft greifen Apps auf die gesamte Umgebung zu und protokollieren sie zu Debugging- oder Überwachungszwecken (manchmal in Protokolldateien im Klartext auf der Festplatte, insbesondere nach dem Absturz einer App).
3. Umgebungsvariablen werden an untergeordnete Prozesse weitergegeben (wodurch das Prinzip der geringsten Berechtigung verletzt wird).
4. Ihre Wartung ist ein Problem: Neue Ingenieure wissen nicht, dass sie vorhanden sind, und kennen die Anforderungen in ihrer Umgebung nicht - z. B., um sie nicht an Unterprozesse weiterzugeben -, da sie nicht erzwungen oder dokumentiert werden.

Warum ist es unsicher, es direkt in einen Befehl in der Befehlszeile einzugeben, da Ihr Geheimnis dann für jeden anderen Benutzer sichtbar ist, der ausgeführt wird, ps -auxda hier die Befehle aufgelistet sind, die für jeden aktuell ausgeführten Prozess gesendet wurden. Auch weil Ihr Geheimnis dann in der Bash-Historie landet (sobald die Shell endet).

Warum ist es unsicher, es in eine lokale Datei aufzunehmen ? Eine strikte POSIX-Zugriffsbeschränkung für die Datei kann das Risiko in diesem Szenario verringern. Es handelt sich jedoch immer noch um eine Datei in Ihrem Dateisystem, die im Ruhezustand unverschlüsselt ist.

Ich hatte das gleiche Bedürfnis in Bash (Ubuntu 16.04 LTS) und die in den Antworten angegebenen Befehle funktionierten in meinem Fall nicht. Ich musste verwenden:

curl -X POST -F 'username="$USER"' -F 'password="$PASS"' "http://api.somesite.com/test/blah?something=123"

Doppelte Anführungszeichen in den -FArgumenten sind nur erforderlich, wenn Sie Variablen verwenden. Daher ist die Verwendung über die Befehlszeile ... -F 'username=myuser' ...in Ordnung.

Relevanter Sicherheitshinweis: Wie Herr Mark Ribau in Kommentaren zeigt, zeigt dieser Befehl das Passwort (Variable $ PASS, erweitert) in der Prozessliste an!

Wenn Sie sich auf einem System mit Gnome-Schlüsselbund-App befinden, können Sie das Kennwort nicht mit gkeyring.py extrahieren, um das Kennwort aus dem Schlüsselbund zu extrahieren:

server=server.example.com
file=path/to/my/file
user=my_user_name
pass=$(gkeyring.py -k login -tnetwork -p user=$user,server=$server -1)

curl -u $user:$pass ftps://$server/$file -O

Dies ist VIEL mehr als das OP verlangt, aber da dies ein Top-Ergebnis für die sichere Weitergabe von Passwörtern ist curl, füge ich diese Lösungen hier für andere hinzu, die hier ankommen und danach suchen.

HINWEIS: Der Befehl -sarg for readist nicht POSIX und daher nicht überall verfügbar. Daher wird er im Folgenden nicht verwendet. Wir werden stty -echound stty echostattdessen verwenden.

HINWEIS: Alle unten aufgeführten Bash-Variablen können stattdessen in einer Funktion als lokale deklariert werden, anstatt sie zu deaktivieren.

HINWEIS: perlist ziemlich allgemein auf allen Systemen verfügbar Ich habe versucht , weil es eine Abhängigkeit für viele Dinge zu sein, während rubyund pythonnicht ist, so verwendet perlhier. Wenn Sie können garantieren , ruby/ pythonwo Sie dies tun, können Sie die ersetzen perlBefehl mit ihren Äquivalent.

HINWEIS: Getestet in bash3.2.57 unter macOS 10.14.4. Für andere Shells / Installationen ist möglicherweise eine kleine Übersetzung erforderlich.

Fordern Sie einen Benutzer sicher auf, ein (wiederverwendbares) Kennwort an curl zu übergeben. Besonders nützlich, wenn Sie Curl mehrmals aufrufen müssen.

Wo echoist für moderne Muscheln ein eingebauter (Check via which echo):

url='https://example.com'
printf "Username: "
read username
printf "Password: "
stty -echo  # disables echoing user input, POSIX equivalent for 'read -s'
read pass
printf "\n" # we need to move the line ahead
stty echo   # re-enable echoing user input
echo ${pass} | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
unset username
unset pass

Bei älteren Shells, wo echoist so etwas /bin/echo(wo was auch immer es in der Prozessliste
wiedergibt ): DIESE VERSION KANN DAS PASSWORT NICHT WIEDERVERWENDEN , siehe stattdessen weiter unten.

url='https://example.com'
printf "Username: "
read username
printf "Password: "
stty -echo  # disables echoing user input, POSIX equivalent for 'read -s'
perl -e '
    my $val=<STDIN>;
    chomp $val;
    print STDERR "\n";  # we need to move the line ahead, but not send a newline down the pipe
    print $val;
' | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
stty echo   # re-enable echoing user input
unset username

Wenn Sie das Kennwort vorübergehend in einer Datei speichern müssen, um es vor dem Löschen für mehrere Befehle wiederzuverwenden (z. B. weil Sie Funktionen zur Wiederverwendung von Code verwenden und den Code nicht wiederholen möchten und nicht können Geben Sie den Wert per Echo weiter. (Ja, diese sind in dieser Form etwas erfunden und funktionieren nicht in verschiedenen Bibliotheken. Ich habe versucht, sie auf den Mindestcode zu reduzieren, der zum Anzeigen erforderlich ist.)

Wenn Echo eingebaut ist (dies ist besonders erfunden, da Echo eingebaut ist, aber der Vollständigkeit halber bereitgestellt wird):

url='https://example.com'
filepath="$(mktemp)"  # random path, only readable by current user
printf "Username: "
read username
printf "Password: "
stty -echo  # disables echoing user input, POSIX equivalent for 'read -s'
read pass
echo "${pass}" > "${filepath}"
unset pass
printf "\n" # we need to move the line ahead
stty echo   # re-enable echoing user input

cat "${filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-

rm "${filepath}"  # don't forget to delete the file when done!!
unset username

Wenn Echo so etwas wie /bin/echo:

url='https://example.com'
filepath="$(mktemp)"  # random path, only readable by current user
printf "Username: "
read username
printf "Password: "
stty -echo  # disables echoing user input, POSIX equivalent for 'read -s'
$(perl -e '
    my $val=<STDIN>;
    chomp $val;
    open(my $fh, ">", $ARGV[0]) or die "Could not open file \"$ARGV[0]\" $\!";
    print $fh $val;
    close $fh;
' "$filepath")
printf "\n" # we need to move the line ahead
stty echo   # re-enable echoing user input

cat "${filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-

rm "${filepath}"  # don't forget to delete the file when done!!
unset username