Saya ingin mengakses URL yang memerlukan nama pengguna / kata sandi. Saya ingin mencoba mengaksesnya dengan ikal. Saat ini saya sedang melakukan sesuatu seperti:
curl http://api.somesite.com/test/blah?something=123
Saya mendapatkan kesalahan. Saya kira saya perlu menentukan nama pengguna dan kata sandi bersama dengan perintah di atas.
Bagaimana saya bisa melakukan itu?
Jawaban:
Gunakan -ubendera untuk memasukkan nama pengguna, dan curl akan meminta kata sandi:
curl -u username http://example.com
Anda juga dapat memasukkan kata sandi dalam perintah, tetapi kata sandi Anda akan terlihat di bash history:
curl -u username:password http://example.com
print -- '-u username:password' > somewhere && curl -K somewhere http://...
--netrc-file) lebih aman. Itu membuat kata sandi dari sejarah, ps, skrip Anda, dll. Itu adalah satu-satunya bentuk yang saya gunakan di semua skrip saya dan untuk semua penggunaan terotentikasi curl.
Lebih aman untuk dilakukan:
curl --netrc-file my-password-file http://example.com
... sebagai melewatkan string pengguna / kata sandi biasa pada baris perintah, adalah ide yang buruk.
Format file kata sandi adalah (sesuai per man curl):
machine <example.com> login <username> password <password>
catatan:
https://atau serupa! Hanya nama hostnya.machine', ' login', dan ' password' hanyalah kata kunci; informasi aktual adalah barang setelah kata kunci tersebut.-K <file>atau --config <file>untuk menerima flag curl melalui file atau input standar. (Peringatan: jangan bingung dengan -katau --insecure!)
.netrcfile cleartext dengan izin yang tepat, sehingga hanya pengguna Anda yang dapat membacanya, daripada mekanisme lain (mis. Argumen baris perintah) yang memungkinkan pengguna lain membaca informasi.
Atau hal yang sama tetapi sintaks yang berbeda
curl http://username:password@api.somesite.com/test/blah?something=123
start "" "http://username:password@api.somesite.com/test/blah?something=123". Itu bisa diluncurkan dari mana saja. Itu juga berlaku untuk login ftp; D
Untuk meneruskan kata sandi dalam skrip (mis. Mencegahnya agar tidak muncul dengan ps aux atau log), Anda dapat melakukannya dengan flag -K (baca config from stdin) dan heredoc:
curl --url url -K- <<< "--user user:password"
--configopsi (-K) ... mungkin solusi yang lebih baik adalah dengan memasukkan "--user user: password" ke dalam file dan sederhananya -K the filesehingga Anda hanya memiliki satu salinan kata sandi daripada salinan di setiap skrip . Jauh lebih mudah untuk mengamankan satu file.
cat "${password_filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-. Saya harus meletakkan -K-sebelum url untuk macOS bash lama, YMMV.
Biasanya perintah CURL disebut sebagai
curl https://example.com\?param\=ParamValue -u USERNAME:PASSWORD
jika Anda tidak memiliki kata sandi atau ingin melewatkan prompt perintah untuk meminta kata sandi, biarkan bagian kata sandi kosong.
yaitu curl https://example.com\?param\=ParamValue -u USERNAME:
curl -X GET -u username:password {{ http://www.example.com/filename.txt }} -O
Untuk membiarkan kata sandi paling tidak muncul di Anda .bash_history:
curl -u user:$(cat .password-file) http://example-domain.tld
ps auxw |grep curlpada waktu yang tepat. Demikian pula, kata sandi akan dicatat jika dijalankan melaluisudo
cukup mudah, lakukan di bawah ini:
curl -X GET/POST/PUT <URL> -u username:password
Jawaban lain menyarankan netrc untuk menentukan nama pengguna dan kata sandi, berdasarkan apa yang saya baca, saya setuju. Berikut ini beberapa detail sintaks:
https://ec.haxx.se/usingcurl-netrc.html
Seperti jawaban lain, saya ingin menekankan perlunya memperhatikan keamanan terkait pertanyaan ini.
Meskipun saya bukan ahli, saya menemukan tautan ini berwawasan luas:
https://ec.haxx.se/cmdline-passwords.html
Untuk meringkas:
Menggunakan versi terenkripsi protokol (HTTPS vs HTTP) (FTPS vs FTP) dapat membantu menghindari Kebocoran Jaringan.
Menggunakan netrc dapat membantu menghindari Kebocoran Baris Perintah.
Untuk melangkah lebih jauh, tampaknya Anda juga dapat mengenkripsi file netrc menggunakan gpg
https://brandur.org/fragments/gpg-curl
Dengan ini kredensial Anda tidak "diam" (disimpan) sebagai teks biasa.
Jelas dan sederhananya cara yang paling aman adalah dengan menggunakan variabel lingkungan untuk menyimpan / mengambil kredensial Anda. Dengan demikian perintah curl seperti:
curl -Lk -XGET -u "${API_USER}:${API_HASH}" -b cookies.txt -c cookies.txt -- "http://api.somesite.com/test/blah?something=123"
Kemudian akan memanggil api tenang Anda dan lulus WWW_Authenticationheader http dengan nilai-nilai Base64 yang dikodekan dari API_USERdan API_HASH. The -Lkhanya memberitahu curl untuk mengikuti http 30x pengalihan dan menggunakan tls tidak aman penanganan (yaitu mengabaikan kesalahan ssl). Sedangkan --dobelnya hanya bash sintaksis gula untuk berhenti memproses flag command line. Lebih lanjut, -b cookies.txtdan -c cookies.txtflag menangani cookie dengan -bmengirimkan cookie dan -cmenyimpan cookie secara lokal.
Manual ini memiliki lebih banyak contoh metode otentikasi .
Anda dapat menggunakan perintah seperti,
curl -u user-name -p http://www.example.com/path-to-file/file-name.ext > new-file-name.ext
Maka kata sandi HTTP akan dipicu.
Referensi: http://www.asempt.com/article/how-use-curl-http-password-protected-site
Cara teraman untuk meneruskan kredensial ke curl adalah diminta memasukkannya. Inilah yang terjadi ketika melewati nama pengguna seperti yang disarankan sebelumnya ( -u USERNAME).
Tetapi bagaimana jika Anda tidak dapat melewatkan nama pengguna dengan cara itu? Misalnya nama pengguna mungkin perlu menjadi bagian dari url dan hanya kata sandi yang menjadi bagian dari payload json.
tl; dr: Ini adalah cara menggunakan curl dengan aman dalam hal ini:
read -p "Username: " U; read -sp "Password: " P; curl --request POST -d "{\"password\":\"${P}\"}" https://example.com/login/${U}; unset P U
read akan meminta nama pengguna dan kata sandi dari baris perintah, dan menyimpan nilai yang dikirimkan dalam dua variabel yang dapat menjadi referensi dalam perintah berikutnya dan akhirnya tidak disetel.
Saya akan menguraikan mengapa solusi lain tidak ideal.
Mengapa variabel lingkungan tidak aman
Mengapa tidak aman untuk mengetikkannya ke perintah pada baris perintah secara langsung
Karena rahasia Anda kemudian terlihat oleh pengguna lain yang berjalan ps -auxkarena daftar perintah yang dikirimkan untuk setiap proses yang sedang berjalan. Juga karena rahasia Anda kemudian berakhir dalam sejarah bash (setelah shell berakhir).
Mengapa tidak aman untuk memasukkannya dalam file lokal Pembatasan akses POSIX yang ketat pada file dapat mengurangi risiko dalam skenario ini. Namun, ini masih berupa file di sistem file Anda, tidak dienkripsi saat istirahat.
Saya memiliki kebutuhan yang sama di bash (Ubuntu 16.04 LTS) dan perintah yang diberikan dalam jawaban gagal berfungsi dalam kasus saya. Saya harus menggunakan:
curl -X POST -F 'username="$USER"' -F 'password="$PASS"' "http://api.somesite.com/test/blah?something=123"
Kutipan ganda dalam -Fargumen hanya diperlukan jika Anda menggunakan variabel, sehingga dari baris perintah ... -F 'username=myuser' ...akan baik-baik saja.
Pemberitahuan Keamanan yang Relevan: seperti yang ditunjukkan oleh Mr. Mark Ribau dalam komentar, perintah ini menunjukkan kata sandi (variabel $ PASS, diperluas) di daftar proses!
Jika Anda menggunakan sistem yang memiliki aplikasi keyring Gnome, solusi yang menghindari pemaparan kata sandi secara langsung adalah dengan menggunakan gkeyring.py untuk mengekstrak kata sandi dari keyring:
server=server.example.com
file=path/to/my/file
user=my_user_name
pass=$(gkeyring.py -k login -tnetwork -p user=$user,server=$server -1)
curl -u $user:$pass ftps://$server/$file -O
Ini JAUH lebih banyak daripada yang diminta OP, tetapi karena ini adalah hasil teratas untuk meneruskan kata sandi dengan aman curl, saya menambahkan solusi ini di sini untuk orang lain yang datang ke sini mencarinya.
CATATAN: -sarg untuk readperintah bukan POSIX, jadi tidak tersedia di mana-mana, jadi tidak akan digunakan di bawah ini. Kami akan menggunakan stty -echodan stty echosebagai gantinya.
CATATAN: Semua variabel bash di bawah ini dapat dinyatakan sebagai lokal jika dalam suatu fungsi, bukannya tidak disetel.
CATATAN: perlcukup umum tersedia pada semua sistem yang saya coba karena itu menjadi ketergantungan untuk banyak hal, sedangkan rubydan pythontidak, jadi gunakan di perlsini. Jika Anda dapat menjamin ruby/ di pythonmana Anda melakukan ini, Anda dapat mengganti perlperintah dengan padanannya.
CATATAN: Diuji dalam bash3.2.57 pada macOS 10.14.4. Beberapa terjemahan kecil mungkin diperlukan untuk shell / instalasi lain.
Aman meminta pengguna untuk kata sandi (dapat digunakan kembali) untuk diteruskan ke ikal. Sangat berguna jika Anda perlu memanggil ikal beberapa kali.
Untuk shell modern, di mana echobuilt-in (periksa via which echo):
url='https://example.com'
printf "Username: "
read username
printf "Password: "
stty -echo # disables echoing user input, POSIX equivalent for 'read -s'
read pass
printf "\n" # we need to move the line ahead
stty echo # re-enable echoing user input
echo ${pass} | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
unset username
unset pass
Untuk cangkang yang lebih tua, di mana echoada sesuatu seperti /bin/echo(di mana apa pun itu gema dapat dilihat dalam daftar proses):
VERSI INI TIDAK BISA MENGGUNAKAN KATA SANDI , sebaliknya melihat lebih rendah ke bawah.
url='https://example.com'
printf "Username: "
read username
printf "Password: "
stty -echo # disables echoing user input, POSIX equivalent for 'read -s'
perl -e '
my $val=<STDIN>;
chomp $val;
print STDERR "\n"; # we need to move the line ahead, but not send a newline down the pipe
print $val;
' | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
stty echo # re-enable echoing user input
unset username
Jika Anda perlu menyimpan kata sandi sementara untuk suatu file, untuk menggunakannya kembali untuk beberapa perintah sebelum menghapusnya (katakan karena Anda menggunakan fungsi untuk menggunakan kembali kode dan tidak ingin mengulang kode dan tidak bisa meneruskan nilai sekitar melalui gema). (Ya, ini sedikit dibuat-buat mencari dalam bentuk ini tidak menjadi fungsi di perpustakaan yang berbeda; Saya mencoba menguranginya ke kode minimum yang diperlukan untuk menunjukkannya.)
Ketika gema built-in (ini dibuat khusus, karena gema adalah built-in, tetapi disediakan untuk kelengkapan):
url='https://example.com'
filepath="$(mktemp)" # random path, only readable by current user
printf "Username: "
read username
printf "Password: "
stty -echo # disables echoing user input, POSIX equivalent for 'read -s'
read pass
echo "${pass}" > "${filepath}"
unset pass
printf "\n" # we need to move the line ahead
stty echo # re-enable echoing user input
cat "${filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
rm "${filepath}" # don't forget to delete the file when done!!
unset username
Ketika gema adalah sesuatu seperti /bin/echo:
url='https://example.com'
filepath="$(mktemp)" # random path, only readable by current user
printf "Username: "
read username
printf "Password: "
stty -echo # disables echoing user input, POSIX equivalent for 'read -s'
$(perl -e '
my $val=<STDIN>;
chomp $val;
open(my $fh, ">", $ARGV[0]) or die "Could not open file \"$ARGV[0]\" $\!";
print $fh $val;
close $fh;
' "$filepath")
printf "\n" # we need to move the line ahead
stty echo # re-enable echoing user input
cat "${filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
rm "${filepath}" # don't forget to delete the file when done!!
unset username