大家在登录网站的时候,大部分时候是通过一个表单提交登录信息。
但是有时候浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。
下面来看看一看这个认证的工作过程:
第一步: 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话,
服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header "WWW-Authenticate" 中添加信息。
如下图。
第三步: 服务器将Authorization header中的用户名密码取出,进行验证, 如果验证通过,将根据请求,发送资源给客户端。
下面来看一个JAVA的示例代码
import java.io.IOException; import java.io.PrintWriter; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import sun.misc.BASE64Decoder; public class HTTPAuthServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException { if (!BasicAuthenticationUtil.checkUserAuth(request, "basicAuth")) { if (!BasicAuthenticationUtil.checkHeaderAuth(request, "basicAuth")) { response.setStatus(401); response.setHeader("Cache-Control", "no-store"); response.setDateHeader("Expires", 0); response.setHeader("WWW-authenticate", "Basic Realm=\"test\""); return null; } } // 验证通过后 String client = request.getParameter("client");if (StringUtils.isBlank(client)) { //...... } // 其他操作.... } public void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException { doGet(request, response); } }
BasicAuthenticationUtil 帮助类
import java.io.IOException; import java.io.UnsupportedEncodingException; import javax.servlet.http.HttpServletRequest; import org.jfree.util.Log; import sun.misc.*; /** * basic Auth 认证方式 * * @author Geely * */ public class BasicAuthenticationUtil { /** * * @param request * @param response * @param sessionName * @return */ public static boolean checkHeaderAuth(HttpServletRequest request, String sessionName) { String authorization = request.getHeader("Authorization"); if ((authorization != null) && (authorization.length() > 6)) { authorization = authorization.substring(6, authorization.length()); String decodedAuth = base64Decode(authorization); if (StringUtil.isNotBlank(sessionName)) { request.getSession().setAttribute(sessionName, decodedAuth); } return true; } return false; } /** * * @param request * @param response * @param sessionName * @return */ public static boolean checkUserAuth(HttpServletRequest request, String sessionName) { String sessionAuth = null; if (StringUtil.isNotBlank(sessionName)) { sessionAuth = (String) request.getSession().getAttribute(sessionName); } if (sessionAuth != null) { Log.info("this is next step"); return true; } return false; } /** * 编码 * * @param bstr * @return String */ @SuppressWarnings("restriction") public static String base64Encode(byte[] bstr) { String strEncode = new BASE64Encoder().encode(bstr); return strEncode; } /** * 解码 * * @param str * @return */ @SuppressWarnings("restriction") public static String base64Decode(String str) { if (StringUtil.isBlank(str)) { return null; } String s = null; try { BASE64Decoder decoder = new BASE64Decoder(); byte[] b = decoder.decodeBuffer(str); s = new String(b, "UTF8"); } catch (UnsupportedEncodingException e) { // TODO Auto-generated catch block s = null; } catch (IOException e) { // TODO Auto-generated catch block s = null; } return s; } }
当request第一次到达服务器时,服务器没有认证的信息,服务器会返回一个401 Unauthozied给客户端。
认证之后将认证信息放在session,以后在session有效期内就不用再认证了。
以上就是HTTP基本认证(Basic Authentication)的JAVA实例代码全部内容