@Union:
BasicAuthentication auf False hat nicht geholfen.

Ich habe jetzt den Aufruf über den Browser gemacht und mit dem Fiddler mitgeloggt:

Wie sieht der gleiche GET Request in Fiddler aus wenn das Delphi Programm ihn über Indy ausführt?

Firefox verwendet HTTP 1.1 und Keep-Alive, was bei Indy eventuell nicht Standard ist.

so schaut der Get Request mit dem Delphi Programm aus:
Warum sendet es da keine Digest Daten mit?

Ganz normal - beim ersten GET ist dem Client nicht bekannt, wie er sich anmelden kann. Der Server sendet als Antwort einen 401 Error zurück um dem Client mitzuteilen, dass eine Authentifizierung benötigt wird, daraufhin wiederholt der Client den GET Request und gibt dann (also im zweiten Request auf die gleiche URL) die Anmeldedaten im Header mit.

Damit der Client weiss, wie man sich anmelden kann (also per Basic, Digest, NTLM oder anderen Verfahren) sendet der Server in seiner Antwort auf das erste GET auch einen Header in dem alle unterstützten Verfahren genannt werden.

(Da der Firefox Beispiel weiter oben auch schon die Digest Anmeldedaten enthält, kann es sich nicht um den ersten Request handeln, der hier mit Fiddler geloggt wurde).

Um das Problem zu analysieren braucht man die gesamte Kommunikation im Fiddler Protokoll, jeweils für Mozilla und Indy:

* erstes GET auf http://localhost/api
* die vollständige Response des Servers
* zweites GET http://localhost/api mit Digest Daten <- wenn Indy richtig konfiguriert ist, muss es hier auch den Digest Header mitsenden
* die vollständige Response des Servers

Erst im zweiten GET kann man erkennen, ob der Client die vom Server angeforderte Authentifizierungsmethode erkannt hat und benutzt.


Idee: die zweite Response - also nach erfolgreicher Anmeldung - könnte auch einen Redirect Header enthalten. Die IdHTTP HandleRedirects Property muss dann auf True gesetzt sein, damit der Client dem Redirect folgt:

http://stackoverflow.com/questions/4...page-redirects

Ich habe bei HTTPOptions die hoInProcessAuth aktiviert und jetzt werden die Digest Auth mitgeschickt:
Jetzt bekomme ich eine Exception "HTTP/1.1 404 Not Found".

Kann es sein, dass es an der uri in der Authorization liegt?
Wenn ja, wie kann ich die ändern auf "/api"?

ach ich Depp!!
Beim Zugriff über den Browser http://localhost/api meldet der Server auch eine "404 Not Found" zurück.
Wenn ich allerdings http://localhost/api/articles mit dem Server oder mit Delphi zugreife, dann bekomm ich "200 OK"

!!Danke für die Hilfe!!

Mich würde interessieren, ob du eine zweite Abfrage ausführen kannst. Bei mir funktioniert zwar der erste Aufruf wunderbar, beim zweiten Aufruf mit der gleichen Abfrage ergibt dann einen Fehler 400 Bad Request.
Eine Untersuchung mit Fiddler zeigte dann, dass nur bei der ersten Abfrage der Digest mitgesendet wird. Beim zweiten Aufruf steht nur "Digest" drin und nichts weiter.
Die Auth-Routine sieht dann so aus:
Beim ersten Aufruf zeigt er im Fiddler die Authorizierung so an:Beim zweiten Aufruf fehlt das allesNormal kann das so nicht richtig sein, da ein Browser sich auch nur einmal authorisieren muss.

Die kompletten HTTP vom Server wären interessant.

Mit IdHTTP2.Request.URL als URL zu arbeiten ist auch nicht ganz sinnvoll, während der Authentisierung wird dieser Wert überschrieben IdHTTP.DoRequest():
Vielleicht hilft es schon IdHTTP2.Request.Connection := 'Keep-Alive'; zu setzten.

Also du könntest es mal versuchen zwischen den beiden Requests IdHTTP2.Request.Authentication.Next aufrufen.

Innerhalb der unit IdAuthenticationDigest gibt es die Authentication Funktion. Die ist ganz interessant.

Intern wird über ein Zähler FCurrentStep der aktuelle Schritt gesetzt. Wenn du also deinen ersten Request absetzt, dann wird von der TIdHTTP Komponente über die TIdDigestAuthentication Komponente mittels der Funktion Authentication der Authentication Header erzeugt und FCurrentStep auf 0 gesetzt.

Beim nächsten Request ist dann FCurrentStep noch bei 0 und es wird als Authentication Header nur "Digest" zurückgegeben.

Am besten du gehst mit dem Debugger mal ganz langsam durch den Code.

EDIT:
Der nächste Request muss so aussehen, dass du [...] nc=00000002 [...] überträgst: http://en.wikipedia.org/wiki/Digest_...th_explanation ::

Genau das wars wohl! Danke Danke Danke! Geht nun so oft hintereinander wie ich will. Den Befehl Next konnte ich auf keiner Internetseite finden.

Ein IdHTTP2.Request.Connection := 'Keep-Alive' zu setzen hat nichts bewirkt, somit kann ich es ersteinmal weglassen. Gruß Ronny.

Eigentlich muss das Indy intern aufrufen, also sich selbstständig darum kümmern.

Ich werde das mal versuchen lokal zu reproduzieren und dann im Falle eines Fehlers (wovon ich ausgehe) melden.