大家在登录网站的时候,大部分时候是通过一个表单提交登录信息。
但是有时候浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。
下面来看看一看这个认证的工作过程:
第一步: 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话,
服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header "WWW-Authenticate" 中添加信息。
如下图。
第三步: 服务器将Authorization header中的用户名密码取出,进行验证, 如果验证通过,将根据请求,发送资源给客户端。
下面来看一个JAVA的示例代码
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import sun.misc.BASE64Decoder; public class HTTPAuthServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
if (!BasicAuthenticationUtil.checkUserAuth(request, "basicAuth")) {
if (!BasicAuthenticationUtil.checkHeaderAuth(request, "basicAuth")) {
response.setStatus();
response.setHeader("Cache-Control", "no-store");
response.setDateHeader("Expires", );
response.setHeader("WWW-authenticate", "Basic Realm=\"test\"");
return null;
}
} // 验证通过后
String client = request.getParameter("client");if (StringUtils.isBlank(client)) {
//......
} // 其他操作....
} public void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException {
doGet(request, response);
} }
BasicAuthenticationUtil 帮助类
import java.io.IOException;
import java.io.UnsupportedEncodingException; import javax.servlet.http.HttpServletRequest; import org.jfree.util.Log;
import sun.misc.*; /**
* basic Auth 认证方式
*
* @author Geely
*
*/
public class BasicAuthenticationUtil { /**
*
* @param request
* @param response
* @param sessionName
* @return
*/
public static boolean checkHeaderAuth(HttpServletRequest request, String sessionName) {
String authorization = request.getHeader("Authorization");
if ((authorization != null) && (authorization.length() > )) {
authorization = authorization.substring(, authorization.length());
String decodedAuth = base64Decode(authorization);
if (StringUtil.isNotBlank(sessionName)) {
request.getSession().setAttribute(sessionName, decodedAuth);
}
return true;
}
return false;
} /**
*
* @param request
* @param response
* @param sessionName
* @return
*/
public static boolean checkUserAuth(HttpServletRequest request, String sessionName) {
String sessionAuth = null;
if (StringUtil.isNotBlank(sessionName)) {
sessionAuth = (String) request.getSession().getAttribute(sessionName);
}
if (sessionAuth != null) {
Log.info("this is next step");
return true;
}
return false;
} /**
* 编码
*
* @param bstr
* @return String
*/
@SuppressWarnings("restriction")
public static String base64Encode(byte[] bstr) {
String strEncode = new BASE64Encoder().encode(bstr);
return strEncode;
} /**
* 解码
*
* @param str
* @return
*/
@SuppressWarnings("restriction")
public static String base64Decode(String str) {
if (StringUtil.isBlank(str)) {
return null;
}
String s = null;
try {
BASE64Decoder decoder = new BASE64Decoder();
byte[] b = decoder.decodeBuffer(str);
s = new String(b, "UTF8");
} catch (UnsupportedEncodingException e) {
// TODO Auto-generated catch block
s = null;
} catch (IOException e) {
// TODO Auto-generated catch block
s = null;
}
return s;
} }
当request第一次到达服务器时,服务器没有认证的信息,服务器会返回一个401 Unauthozied给客户端。
认证之后将认证信息放在session,以后在session有效期内就不用再认证了。
以上就是HTTP基本认证(Basic Authentication)的JAVA实例代码全部内容