Http认证之Basic认证

时间:2021-12-09 07:11:46
文章主要讲如何在tomcat中配置Basic认证以及工作流程:

Tomcat配置:
1 在tomcat的webapps下新建一个目录authen,再建立子目录subdir,下面放一个index.jsp

2 在authen目录下建立WEB-INF目录,下放web.xml文件,内容如下
Xml代码 Http认证之Basic认证 Http认证之Basic认证Http认证之Basic认证
  1. <security-constraint>  
  2.     <web-resource-collection>  
  3.         <web-resource-name>  
  4.             My App  
  5.         </web-resource-name>  
  6.         <url-pattern>/subdir/*</url-pattern>  
  7.     </web-resource-collection>  
  8.     <auth-constraint>  
  9.         <role-name>test</role-name>  
  10.     </auth-constraint>  
  11. </security-constraint>  
  12.   
  13. <login-config>  
  14.     <auth-method>BASIC</auth-method>  
  15.     <realm-name>My Realm</realm-name>  
  16. </login-config>  

3 在tomcat的tomcat-users.xml文件中添加一个用户名密码为test,test的用户,角色test。


客户端访问:
访问http://localhost:port/authen/subdir/index.jsp
会弹出对话框提示认证,输入test test可以登录。
Http认证之Basic认证

工作流程(通过firebug可以查看请求头)
1 客户端先发请求(不知道要认证,头里不包含任何特殊信息)

2 服务器发一个401返回,并含有下面的头
WWW-Authenticate Basic realm="My Realm"
Http认证之Basic认证

3 客户端认证,含有下面的头
Authorization Basic dGVzdDp0ZXN0
“dGVzdDp0ZXN0”是"test:test"的Base64编码。 (可以通过php函数base64_encode()验证)
Http认证之Basic认证

缺点:
密码明文传输,非常不安全。


httpclient中的实现
Java代码 Http认证之Basic认证 Http认证之Basic认证Http认证之Basic认证
  1. 查看org.apache.commons.httpclient.auth包的BasicScheme类  
  2.   
  3.     // Copy from the httpclient source code  
  4.     // Omit some codes  
  5.     public static String authenticate(UsernamePasswordCredentials credentials, String charset) {  
  6.   
  7.         ...  
  8.   
  9.         StringBuffer buffer = new StringBuffer();  
  10.         buffer.append(credentials.getUserName());  
  11.         buffer.append(":");  
  12.         buffer.append(credentials.getPassword());  
  13.           
  14.         return "Basic " + EncodingUtil.getAsciiString(Base64.encodeBase64(EncodingUtil.getBytes(buffer.toString(), charset)));  
  15.     }