摘要:用戶輸入用戶名和密碼后,用戶名和密碼會經(jīng)過加密附加到請求信息中再次請求服務(wù)器����,服務(wù)器會根據(jù)請求頭攜帶的認(rèn)證信息,決定是否認(rèn)證成功及做出相應(yīng)的響應(yīng)���。給出的認(rèn)證提示����。認(rèn)證窗口關(guān)閉之前,瀏覽器狀態(tài)一直是等待用戶輸入�����。
Basic 概述
Basic 認(rèn)證是HTTP 中非常簡單的認(rèn)證方式�,因為簡單,所以不是很安全��,不過仍然非常常用��。
當(dāng)一個客戶端向一個需要認(rèn)證的HTTP服務(wù)器進(jìn)行數(shù)據(jù)請求時�,如果之前沒有認(rèn)證過,HTTP服務(wù)器會返回401狀態(tài)碼���,要求客戶端輸入用戶名和密碼。用戶輸入用戶名和密碼后�����,用戶名和密碼會經(jīng)過BASE64加密附加到請求信息中再次請求HTTP服務(wù)器�����,HTTP服務(wù)器會根據(jù)請求頭攜帶的認(rèn)證信息�,決定是否認(rèn)證成功及做出相應(yīng)的響應(yīng)。
使用Tomcat進(jìn)行Basic認(rèn)證
如果熟悉Tomcat的朋友,肯定知道Tomcat自帶的有個manager項目���,訪問這個項目需要Basic認(rèn)證���。
下面我們來給我們自己的項目加Basic認(rèn)證。
配置項目的 web.xml
示例:
lvyou
home
com.coder4j.web.servlet.HomeServlet
home
/home.do
GuiLin
/*
lvyou
BASIC
guilin photos
index.html
index.jsp
對上面加注釋的部分進(jìn)行簡單的解釋:
web-resource-name : 給這個認(rèn)證起個名字
url-pattern : 哪些地址需要認(rèn)證����,/*表示此項目的任意地址都需要認(rèn)證,/lvyou/*表示/lvyou下的任意地址都需要認(rèn)證�。
role-name : 哪些角色的用戶認(rèn)證后可以訪問此資源(光認(rèn)證還不夠喲,必須得是許可的角色喲)����,我這里規(guī)定必須是lvyou這個角色的用戶才能看我的照片。
auth-method : 認(rèn)證方式為BASIC認(rèn)證���。
realm-name : 給出的認(rèn)證提示���。
修改 tomcat-users.xml
tomcat 提供了用戶配置文件,我們直接使用就行了��。
至此���,兩步就完成了Basic 認(rèn)證���,如果想訪問我的照片�����,就需要輸入tom 和 tomcat才行喲����。
當(dāng)然配置方式不止這一種�����,網(wǎng)上一搜很多的���,有機會再整理一部分���,這里僅僅想介紹Basic認(rèn)證����。
Basic 認(rèn)證的過程
由上面的實戰(zhàn)可以得知,Basic認(rèn)證的流程很簡單����,現(xiàn)概述如下:
1, 客戶端向服務(wù)器請求數(shù)據(jù)�,并且請求的數(shù)據(jù)是需要認(rèn)證才能看的��,并且客戶端目前沒有認(rèn)證過����。
2, 訪問的頁面需要認(rèn)證,客戶端彈出認(rèn)證窗口����。
認(rèn)證窗口關(guān)閉之前,瀏覽器狀態(tài)一直是:pending等待用戶輸入���。
點擊 x 或取消�,將會出現(xiàn)401狀態(tài)碼�����,響應(yīng)內(nèi)容如下:
響應(yīng)頭中有一句話:
WWW-Authorization: Basic realm="guilin photos"
表示需要認(rèn)證�����,提示信息為:guilin photos
3, 刷新頁面��,輸入正確的用戶名和密碼,將會進(jìn)入到我們的項目中
輸入用戶名和密碼的請求信息頭如下:
這是我們的認(rèn)證信息�。加密策略如下:
用戶名和密碼用:合并,將合并后的字符串使用BASE64加密為密文��,每次請求時��,將密文附于請求頭中�����,服務(wù)器接收此密文���,進(jìn)行解析�����,判斷是否認(rèn)證
Java 實現(xiàn)
我們知道了流程�����,當(dāng)然可以用代碼來實現(xiàn)��。
核心代碼:
HttpSession session = request.getSession();
String user = (String) session.getAttribute("user");
String pass;
if (user == null) {
try {
response.setCharacterEncoding("utf-8");
PrintWriter out = response.getWriter();
String authorization = request.getHeader("Authorization");
if (authorization == null || authorization.equals("")) {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
out.print("401 認(rèn)證失敗");
return;
}
String userAndPass = new String(new BASE64Decoder().decodeBuffer(authorization.split(" ")[1]));
if (userAndPass.split(":").length < 2) {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
out.print("401 認(rèn)證失敗");
return;
}
user = userAndPass.split(":")[0];
pass = userAndPass.split(":")[1];
if (user.equals("111") && pass.equals("111")) {
session.setAttribute("user", user);
// 跳轉(zhuǎn)合適的地方
} else {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
out.print("401 認(rèn)證失敗");
return;
}
} catch (Exception ex) {
ex.printStackTrace();
}
} else {
// 跳轉(zhuǎn)合適的地方
}
Basic認(rèn)證的核心就是響應(yīng)401狀態(tài)碼,告知瀏覽器需要用戶輸入用戶名和密碼�,然后就是后臺按照Basic加密的方式進(jìn)行解密驗證即可�����。
缺點
HTTP基本認(rèn)證的目標(biāo)是提供簡單的用戶驗證功能���,其認(rèn)證過程簡單明了,適合于對安全性要求不高的系統(tǒng)或設(shè)備中��,如大家所用路由器的配置頁面的認(rèn)證�����,幾乎都采取了這種方式����。其缺點是沒有靈活可靠的認(rèn)證策略,另外�����,BASE64的加密強度非常低����,直接能在請求頭中看到,幾乎相當(dāng)于明文了���。
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/65434.html
