http: allow selection of proxy authentication method

author Knut Franke <k.franke@science-computing.de>
Tue, 26 Jan 2016 13:02:47 +0000 (13:02 +0000)

committer Junio C Hamano <gitster@pobox.com>
Tue, 26 Jan 2016 18:53:09 +0000 (10:53 -0800)
author: Knut Franke <k.franke@science-computing.de>
Tue, 26 Jan 2016 13:02:47 +0000 (13:02 +0000)
committer: Junio C Hamano <gitster@pobox.com>
Tue, 26 Jan 2016 18:53:09 +0000 (10:53 -0800)
diff --git a/Documentation/config.txt b/Documentation/config.txt

index f61788668e89b659439e2fa5d600aebabdd733a5..a6c3d0fa50e53c328f021002a6b9b779389d51ab 100644 (file)
--- a/Documentation/config.txt
+++ b/Documentation/config.txt
@@ -1600,6 +1600,27 @@ http.proxy::
         `curl(1)`).  This can be overridden on a per-remote basis; see
         remote.<name>.proxy
  
         `curl(1)`).  This can be overridden on a per-remote basis; see
         remote.<name>.proxy
  
+http.proxyAuthMethod::
+       Set the method with which to authenticate against the HTTP proxy. This
+       only takes effect if the configured proxy string contains a user name part
+       (i.e. is of the form 'user@host' or 'user@host:port'). This can be
+       overridden on a per-remote basis; see `remote.<name>.proxyAuthMethod`.
+       Both can be overridden by the 'GIT_HTTP_PROXY_AUTHMETHOD' environment
+       variable.  Possible values are:
++
+--
+* `anyauth` - Automatically pick a suitable authentication method. It is
+  assumed that the proxy answers an unauthenticated request with a 407
+  status code and one or more Proxy-authenticate headers with supported
+  authentication methods. This is the default.
+* `basic` - HTTP Basic authentication
+* `digest` - HTTP Digest authentication; this prevents the password from being
+  transmitted to the proxy in clear text
+* `negotiate` - GSS-Negotiate authentication (compare the --negotiate option
+  of `curl(1)`)
+* `ntlm` - NTLM authentication (compare the --ntlm option of `curl(1)`)
+--
+
  http.cookieFile::
         File containing previously stored cookie lines which should be used
         in the Git http session, if they match the server. The file format
  http.cookieFile::
         File containing previously stored cookie lines which should be used
         in the Git http session, if they match the server. The file format
@@ -2407,6 +2428,11 @@ remote.<name>.proxy::
         the proxy to use for that remote.  Set to the empty string to
         disable proxying for that remote.
  
         the proxy to use for that remote.  Set to the empty string to
         disable proxying for that remote.
  
+remote.<name>.proxyAuthMethod::
+       For remotes that require curl (http, https and ftp), the method to use for
+       authenticating against the proxy in use (probably set in
+       `remote.<name>.proxy`). See `http.proxyAuthMethod`.
+
  remote.<name>.fetch::
         The default set of "refspec" for linkgit:git-fetch[1]. See
         linkgit:git-fetch[1].
  remote.<name>.fetch::
         The default set of "refspec" for linkgit:git-fetch[1]. See
         linkgit:git-fetch[1].
diff --git a/Documentation/technical/api-remote.txt b/Documentation/technical/api-remote.txt

index 2cfdd224a83710f32e344b76c131181527caf98c..f10941b2e816142e9659ec3982105360f79070fd 100644 (file)
--- a/Documentation/technical/api-remote.txt
+++ b/Documentation/technical/api-remote.txt
@@ -51,6 +51,10 @@ struct remote
  
         The proxy to use for curl (http, https, ftp, etc.) URLs.
  
  
         The proxy to use for curl (http, https, ftp, etc.) URLs.
  
+`http_proxy_authmethod`::
+
+       The method used for authenticating against `http_proxy`.
+
  struct remotes can be found by name with remote_get(), and iterated
  through with for_each_remote(). remote_get(NULL) will return the
  default remote, given the current branch and configuration.
  struct remotes can be found by name with remote_get(), and iterated
  through with for_each_remote(). remote_get(NULL) will return the
  default remote, given the current branch and configuration.
diff --git a/http.c b/http.c

index 0da9e6639832a493f932e3ba332683d3d4ae73ae..f46bfc43f9e5e8073563be853744262a1bb4c5d6 100644 (file)
--- a/http.c
+++ b/http.c
@@ -62,6 +62,24 @@ static long curl_low_speed_limit = -1;
  static long curl_low_speed_time = -1;
  static int curl_ftp_no_epsv;
  static const char *curl_http_proxy;
  static long curl_low_speed_time = -1;
  static int curl_ftp_no_epsv;
  static const char *curl_http_proxy;
+static const char *http_proxy_authmethod;
+static struct {
+       const char *name;
+       long curlauth_param;
+} proxy_authmethods[] = {
+       { "basic", CURLAUTH_BASIC },
+       { "digest", CURLAUTH_DIGEST },
+       { "negotiate", CURLAUTH_GSSNEGOTIATE },
+       { "ntlm", CURLAUTH_NTLM },
+#ifdef LIBCURL_CAN_HANDLE_AUTH_ANY
+       { "anyauth", CURLAUTH_ANY },
+#endif
+       /*
+        * CURLAUTH_DIGEST_IE has no corresponding command-line option in
+        * curl(1) and is not included in CURLAUTH_ANY, so we leave it out
+        * here, too
+        */
+};
  static const char *curl_cookie_file;
  static int curl_save_cookies;
  struct credential http_auth = CREDENTIAL_INIT;
  static const char *curl_cookie_file;
  static int curl_save_cookies;
  struct credential http_auth = CREDENTIAL_INIT;
@@ -256,6 +274,9 @@ static int http_options(const char *var, const char *value, void *cb)
         if (!strcmp("http.proxy", var))
                 return git_config_string(&curl_http_proxy, var, value);
  
         if (!strcmp("http.proxy", var))
                 return git_config_string(&curl_http_proxy, var, value);
  
+       if (!strcmp("http.proxyauthmethod", var))
+               return git_config_string(&http_proxy_authmethod, var, value);
+
         if (!strcmp("http.cookiefile", var))
                 return git_config_string(&curl_cookie_file, var, value);
         if (!strcmp("http.savecookies", var)) {
         if (!strcmp("http.cookiefile", var))
                 return git_config_string(&curl_cookie_file, var, value);
         if (!strcmp("http.savecookies", var)) {
@@ -304,6 +325,40 @@ static void init_curl_http_auth(CURL *result)
  #endif
  }
  
  #endif
  }
  
+/* *var must be free-able */
+static void var_override(const char **var, char *value)
+{
+       if (value) {
+               free((void *)*var);
+               *var = xstrdup(value);
+       }
+}
+
+static void init_curl_proxy_auth(CURL *result)
+{
+       var_override(&http_proxy_authmethod, getenv("GIT_HTTP_PROXY_AUTHMETHOD"));
+
+#if LIBCURL_VERSION_NUM >= 0x070a07 /* CURLOPT_PROXYAUTH and CURLAUTH_ANY */
+       if (http_proxy_authmethod) {
+               int i;
+               for (i = 0; i < ARRAY_SIZE(proxy_authmethods); i++) {
+                       if (!strcmp(http_proxy_authmethod, proxy_authmethods[i].name)) {
+                               curl_easy_setopt(result, CURLOPT_PROXYAUTH,
+                                               proxy_authmethods[i].curlauth_param);
+                               break;
+                       }
+               }
+               if (i == ARRAY_SIZE(proxy_authmethods)) {
+                       warning("unsupported proxy authentication method %s: using anyauth",
+                                       http_proxy_authmethod);
+                       curl_easy_setopt(result, CURLOPT_PROXYAUTH, CURLAUTH_ANY);
+               }
+       }
+       else
+               curl_easy_setopt(result, CURLOPT_PROXYAUTH, CURLAUTH_ANY);
+#endif
+}
+
  static int has_cert_password(void)
  {
         if (ssl_cert == NULL || ssl_cert_password_required != 1)
  static int has_cert_password(void)
  {
         if (ssl_cert == NULL || ssl_cert_password_required != 1)
@@ -476,9 +531,7 @@ static CURL *get_curl_handle(void)
                                 CURLOPT_PROXYTYPE, CURLPROXY_SOCKS4);
  #endif
         }
                                 CURLOPT_PROXYTYPE, CURLPROXY_SOCKS4);
  #endif
         }
-#if LIBCURL_VERSION_NUM >= 0x070a07
-       curl_easy_setopt(result, CURLOPT_PROXYAUTH, CURLAUTH_ANY);
-#endif
+       init_curl_proxy_auth(result);
  
         set_curl_keepalive(result);
  
  
         set_curl_keepalive(result);
  
@@ -519,6 +572,9 @@ void http_init(struct remote *remote, const char *url, int proactive_auth)
         if (remote && remote->http_proxy)
                 curl_http_proxy = xstrdup(remote->http_proxy);
  
         if (remote && remote->http_proxy)
                 curl_http_proxy = xstrdup(remote->http_proxy);
  
+       if (remote)
+               var_override(&http_proxy_authmethod, remote->http_proxy_authmethod);
+
         pragma_header = curl_slist_append(pragma_header, "Pragma: no-cache");
         no_pragma_header = curl_slist_append(no_pragma_header, "Pragma:");
  
         pragma_header = curl_slist_append(pragma_header, "Pragma: no-cache");
         no_pragma_header = curl_slist_append(no_pragma_header, "Pragma:");
  
@@ -617,6 +673,9 @@ void http_cleanup(void)
                 curl_http_proxy = NULL;
         }
  
                 curl_http_proxy = NULL;
         }
  
+       free((void *)http_proxy_authmethod);
+       http_proxy_authmethod = NULL;
+
         if (cert_auth.password != NULL) {
                 memset(cert_auth.password, 0, strlen(cert_auth.password));
                 free(cert_auth.password);
         if (cert_auth.password != NULL) {
                 memset(cert_auth.password, 0, strlen(cert_auth.password));
                 free(cert_auth.password);
diff --git a/remote.c b/remote.c

index 9d34b5a5dafa217e2ce9cb1b7e9a4ab74908f7af..0bb5a698324cf0e77589fe8fc4f3e9cbe7d215bf 100644 (file)
--- a/remote.c
+++ b/remote.c
@@ -428,6 +428,9 @@ static int handle_config(const char *key, const char *value, void *cb)
         } else if (!strcmp(subkey, ".proxy")) {
                 return git_config_string((const char **)&remote->http_proxy,
                                          key, value);
         } else if (!strcmp(subkey, ".proxy")) {
                 return git_config_string((const char **)&remote->http_proxy,
                                          key, value);
+       } else if (!strcmp(subkey, ".proxyauthmethod")) {
+               return git_config_string((const char **)&remote->http_proxy_authmethod,
+                                        key, value);
         } else if (!strcmp(subkey, ".vcs")) {
                 return git_config_string(&remote->foreign_vcs, key, value);
         }
         } else if (!strcmp(subkey, ".vcs")) {
                 return git_config_string(&remote->foreign_vcs, key, value);
         }
diff --git a/remote.h b/remote.h

index 4a039bae0b15d6d28aace0c62287c3f3bb11befa..4fd7a0f9b2764d3de935f6387f6a93bfd7ab13b0 100644 (file)
--- a/remote.h
+++ b/remote.h
@@ -54,6 +54,7 @@ struct remote {
          * for curl remotes only
          */
         char *http_proxy;
          * for curl remotes only
          */
         char *http_proxy;
+       char *http_proxy_authmethod;
  };
  
  struct remote *remote_get(const char *name);
  };
  
  struct remote *remote_get(const char *name);
author	Knut Franke <k.franke@science-computing.de>
author	Tue, 26 Jan 2016 13:02:47 +0000 (13:02 +0000)
committer	Junio C Hamano <gitster@pobox.com>
committer	Tue, 26 Jan 2016 18:53:09 +0000 (10:53 -0800)
Documentation/config.txt		patch \| blob \| history
Documentation/technical/api-remote.txt		patch \| blob \| history
http.c		patch \| blob \| history
remote.c		patch \| blob \| history
remote.h		patch \| blob \| history