使用带有用户名和密码的cURL ?

我想访问一个需要用户名/密码的URL。我想用curl访问它。现在我正在做的事情是:

curl http://api.somesite.com/test/blah?something=123

我得到一个错误。我想我需要在上面的命令中指定用户名和密码。

我该怎么做呢?

1234603 次浏览
小开

使用-u标志来包含用户名,curl将提示输入密码:

curl -u username http://example.com

你也可以在命令中包含密码,但你的密码将在bash历史中可见:

curl -u username:password http://example.com
小开

或者同样的东西,但是语法不同

curl http://username:password@api.somesite.com/test/blah?something=123
小开

你也可以这样发送用户名:

curl -u USERNAME http://server.example

然后Curl将要求您输入密码,并且密码将不会在屏幕上显示(或者如果您需要复制/粘贴该命令)。

小开

更安全的做法是:

curl --netrc-file my-password-file http://example.com

...由于在命令行上传递普通的用户/密码字符串,这是一个坏主意。

密码文件的格式是(按照man curl):

machine <example.com> login <username> password <password>

注意:

  1. 机器名必须包含https://或类似的 !只有主机名。
  2. machine”、“login”和“password”只是关键词;真正的信息是那些关键字之后的东西。
小开

要让密码至少不弹出在.bash_history:

curl -u user:$(cat .password-file) http://example-domain.tld
小开

简单地说,最安全的方法是使用环境变量来存储/检索凭据。因此,curl命令如下:

curl -Lk -XGET -u "${API_USER}:${API_HASH}" -b cookies.txt -c cookies.txt -- "http://api.somesite.com/test/blah?something=123"

然后调用您的restful api并传递带有Base64编码值的API_USERAPI_HASH的http WWW_Authentication报头。-Lk只是告诉curl遵循http 30x重定向并使用不安全的tls处理(即忽略ssl错误)。而双--只是bash语法糖,以停止处理命令行标志。此外,-b cookies.txt-c cookies.txt标志处理cookie, -b发送cookie, -c在本地存储cookie。

手册中有更多身份验证示例方法。

小开

如果你在一个有Gnome密匙环应用程序的系统上,避免直接暴露密码的解决方案是使用gkeyring.py从密匙环中提取密码:

server=server.example.com
file=path/to/my/file
user=my_user_name
pass=$(gkeyring.py -k login -tnetwork -p user=$user,server=$server -1)


curl -u $user:$pass ftps://$server/$file -O
小开

你可以使用命令,

curl -u user-name -p http://www.example.com/path-to-file/file-name.ext > new-file-name.ext

HTTP密码将被触发。

< p >参考: # EYZ0 < / p >
小开

要在脚本中安全地传递密码(即防止它与ps auxf或logs一起出现),您可以使用- k -标志(从stdin读取配置)和heredoc:

curl --url url -K- <<< "--user user:password"
小开

我在bash (Ubuntu 16.04 LTS)中有同样的需求,答案中提供的命令在我的情况下无法工作。我不得不使用:

curl -X POST -F 'username="$USER"' -F 'password="$PASS"' "http://api.somesite.com/test/blah?something=123"

只有在使用变量时才需要使用-F参数中的双引号,因此在命令行中使用... -F 'username=myuser' ...就可以了。

相关安全公告:as Mark Ribau在注释中指出该命令显示了进程列表中的密码($PASS变量,展开)!

小开 
curl -X GET -u username:password  \{\{ http://www.example.com/filename.txt }} -O
小开

其他回答建议netrc指定用户名和密码,根据我所读到的,我同意。下面是一些语法细节:

https://ec.haxx.se/usingcurl-netrc.html

和其他回答一样,我想在这个问题上强调,要注意安全。

虽然我不是专家,但我发现这些链接很有见地:

https://ec.haxx.se/cmdline-passwords.html

总结:

使用协议的加密版本 (HTTPS vs HTTP) (FTPS vs FTP)可以帮助避免网络泄漏。

使用netrc可以帮助避免命令行泄漏。

更进一步,似乎还可以使用gpg加密netrc文件

https://brandur.org/fragments/gpg-curl

这样,您的凭据就不会“静止”(存储为纯文本)。

小开

很简单,做以下几点:

curl -X GET/POST/PUT <URL> -u username:password
小开

通常CURL命令指的是

curl https://example.com\?param\=ParamValue -u USERNAME:PASSWORD

如果您没有任何密码或想跳过命令提示符来要求输入密码,请将密码部分留空。

即# EYZ0

小开

向curl传递凭据最安全的方法是提示插入凭据。这是在传递前面建议的用户名(-u USERNAME)时发生的情况。

但是如果你不能通过这种方式传递用户名怎么办? 例如,用户名可能需要是url的一部分,而只有密码是json有效载荷的一部分

< >强tl;博士: 这是如何安全地使用curl在这种情况下:

read -p "Username: " U; read -sp "Password: " P; curl --request POST -d "{\"password\":\"${P}\"}" https://example.com/login/${U}; unset P U

read将提示从命令行输入用户名和密码,并将提交的值存储在两个变量中,以便在后续命令中引用并最终取消设置。

我将详细说明为什么其他解决方案都不理想。

# EYZ0

  1. 无法跟踪环境变量内容的访问和公开模式(ps -eww),因为环境对进程是隐式可用的
  2. 应用程序通常会抓取整个环境并将其记录下来用于调试或监控目的(有时在磁盘上的日志文件明文中,特别是在应用程序崩溃后)
  3. 环境变量被传递给子进程(因此打破了最小特权原则)
  4. 维护它们是一个问题:新工程师不知道它们的存在,也不知道它们周围的需求——例如,不要将它们传递给子流程——因为它们没有被强制执行或记录。

为什么直接在命令行输入到命令中不安全 因为您的秘密最终会被运行ps -aux的任何其他用户看到,因为它列出了为每个当前运行的进程提交的命令。 这也是因为您的秘密将在bash历史记录中结束(一旦shell终止)

为什么在本地文件中包含它是不安全的 对文件的严格POSIX访问限制可以降低这种情况下的风险。但是,它仍然是您的文件系统中的一个文件,未加密

小开

这比OP要求的要多得多,但由于这是安全传递密码到curl的顶级结果,我在这里为其他人添加了这些解决方案。

注意:read命令的-s参数不是POSIX,所以不是在任何地方都可用,所以下面不使用它。我们将使用stty -echostty echo代替。

注意:如果在函数中,下面所有bash变量都可以声明为局部变量,而不是不设置。

注意:perl在我尝试过的所有系统上都是可用的,因为它是许多东西的依赖项,而rubypython不是,所以在这里使用perl。如果您可以保证在执行此操作时使用ruby/python命令,则可以使用它们的等效命令替换perl命令。

注意:在macOS 10.14.4上的bash 3.2.57中测试。其他shell /安装可能需要一些小的转换。

安全地提示用户输入要传递给curl的(可重用的)密码。如果需要多次调用curl,则特别有用。

对于现代shell, echo是内置的(通过which echo检查):

url='https://example.com'
printf "Username: "
read username
printf "Password: "
stty -echo  # disables echoing user input, POSIX equivalent for 'read -s'
read pass
printf "\n" # we need to move the line ahead
stty echo   # re-enable echoing user input
echo ${pass} | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
unset username
unset pass

对于旧的shell,其中echo类似于/bin/echo(在进程列表中可以看到它的回声):
此版本不能重复使用密码,请参见下方。

url='https://example.com'
printf "Username: "
read username
printf "Password: "
stty -echo  # disables echoing user input, POSIX equivalent for 'read -s'
perl -e '
my $val=<STDIN>;
chomp $val;
print STDERR "\n";  # we need to move the line ahead, but not send a newline down the pipe
print $val;
' | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-
stty echo   # re-enable echoing user input
unset username


< / p > <人力资源>

如果您碰巧需要将密码临时存储到一个文件中,以便在清除它之前为多个命令重用它(例如,因为您正在使用用于代码重用的函数,不想重复代码,并且不能通过echo传递值)。(是的,这种形式看起来有点不自然,它们不是不同库中的函数;我试图将它们减少到显示它所需的最小代码。)

当echo是内置的(这是特别人为的,因为echo是内置的,但提供了完整性):

url='https://example.com'
filepath="$(mktemp)"  # random path, only readable by current user
printf "Username: "
read username
printf "Password: "
stty -echo  # disables echoing user input, POSIX equivalent for 'read -s'
read pass
echo "${pass}" > "${filepath}"
unset pass
printf "\n" # we need to move the line ahead
stty echo   # re-enable echoing user input


cat "${filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-


rm "${filepath}"  # don't forget to delete the file when done!!
unset username

当echo类似于/bin/echo时:

url='https://example.com'
filepath="$(mktemp)"  # random path, only readable by current user
printf "Username: "
read username
printf "Password: "
stty -echo  # disables echoing user input, POSIX equivalent for 'read -s'
$(perl -e '
my $val=<STDIN>;
chomp $val;
open(my $fh, ">", $ARGV[0]) or die "Could not open file \"$ARGV[0]\" $\!";
print $fh $val;
close $fh;
' "$filepath")
printf "\n" # we need to move the line ahead
stty echo   # re-enable echoing user input


cat "${filepath}" | sed -e "s/^/-u ${username}:/" | curl --url "${url}" -K-


rm "${filepath}"  # don't forget to delete the file when done!!
unset username
小开

在某些API中它可能不起作用(比如rabbitmq)。

还有其他选择:

curl http://username:password@example.com


curl http://admin:123456@example.com

上面的格式也可以在浏览器中使用。

小开

你可以使用gpg加密的netrc文件与curl像这样:

netrc_file="$HOME/netrc.gpg"
curl --netrc-file <(gpg -d $netrc_file) https://...
小开

您应该确定身份验证类型。

如果是摘要认证,http头为:

GET /xxxxxxxxxxx HTTP/1.1
Host: 192.168.3.142
User-Agent: Go-http-client/1.1
Authorization: Digest username="admin", realm="admin@51200304-49-test", nonce="5.1722929000077545", uri="/xxxxxxxxxxx", response="52d30eba90820f2c4fa4d3292a4a7bbc", cnonce="f11900fe0906e3899e0cc431146512bb", qop=auth, nc=00000001
Accept-Encoding: gzip

你可以使用--digest选项:

    curl  --digest -u 'username:password' 'http://xxxxxxxxxxx'
小开

在我的例子中,我需要一个提示符,用户可以输入他们的凭据。

获得用户名和密码提示的最简单方法是以下一行代码:

read -p "Username: " U ; curl -u "$U" <URL> ; unset U

read命令提示输入用户名。-u "$U"参数告诉curl尝试使用用户名$U进行身份验证,并提示输入密码。

作为奖励,密码将只对curl可见,不会在任何日志或历史记录中结束。

curl的手册页有更多关于不同身份验证模式的详细信息: # EYZ0 < / p >

我也喜欢用户"iammyr"需要。它可以覆盖cURL的认证算法失败的情况:
# EYZ0 < / p >

小开

如果你的服务器支持Basic认证,你可以这样做:

printf 'header="Authorization: Basic %s"' "$(base64 --wrap=0 credentials)"|
curl --config - https://example.org

credentials将是存储用户名和密码的文件,格式为username:password

该解决方案的好处:

  • 不需要转义特殊字符
  • 适用于任何密码,即使它包含空格、引号、反斜杠或其他特殊字符,因此它也可以安全地用于不控制输入的脚本
  • 在内置printf的shell中,登录数据不会显示在进程列表中

如果你的shell没有printf作为内置命令,你可以这样做,以避免登录数据出现在进程列表中:

{ printf 'header="Authorization: Basic '; base64 --wrap=0 credentials; printf '"'; }|
curl --config - https://example.org

提交答案