Basic 概述
Basic 認證是HTTP 中非常簡單的認證方式,因為簡單,所以不是很安全,不過仍然非常常用。
當一個客戶端向一個需要認證的HTTP服務器進行數據請求時,如果之前沒有認證過,HTTP服務器會返回401狀態碼,要求客戶端輸入用戶名和密碼。用戶輸入用戶名和密碼后,用戶名和密碼會經過BASE64加密附加到請求信息中再次請求HTTP服務器,HTTP服務器會根據請求頭攜帶的認證信息,決定是否認證成功及做出相應的響應。
使用Tomcat進行Basic認證
如果熟悉Tomcat的朋友,肯定知道Tomcat自帶的有個manager項目,訪問這個項目需要Basic認證。
下面我們來給我們自己的項目加Basic認證。
配置項目的 web.xml
示例:
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0"> <display-name>lvyou</display-name> <servlet> <servlet-name>home</servlet-name> <servlet-class>com.coder4j.web.servlet.HomeServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>home</servlet-name> <url-pattern>/home.do</url-pattern> </servlet-mapping> <!-- 下面是Basic認證配置 --> <security-constraint> <web-resource-collection> <web-resource-name>GuiLin</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>lvyou</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>BASIC</auth-method> <realm-name>guilin photos</realm-name> </login-config> <!-- Basic認證配置結束 --> <welcome-file-list> <welcome-file>index.html</welcome-file> <welcome-file>index.jsp</welcome-file> </welcome-file-list> </web-app>
對上面加注釋的部分進行簡單的解釋:
-
web-resource-name: 給這個認證起個名字 -
url-pattern: 哪些地址需要認證,/*表示此項目的任意地址都需要認證,/lvyou/*表示/lvyou下的任意地址都需要認證。 -
role-name: 哪些角色的用戶認證后可以訪問此資源(光認證還不夠喲,必須得是許可的角色喲),我這里規定必須是lvyou這個角色的用戶才能看我的照片。 -
auth-method: 認證方式為BASIC認證。 -
realm-name: 給出的認證提示。
修改 tomcat-users.xml
tomcat 提供了用戶配置文件,我們直接使用就行了。
<?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="lvyou"/> <user username="tom" password="tomcat" roles="lvyou"/> </tomcat-users>
至此,兩步就完成了Basic 認證,如果想訪問我的照片,就需要輸入tom 和 tomcat才行喲。
當然配置方式不止這一種,網上一搜很多的,有機會再整理一部分,這里僅僅想介紹Basic認證。
Basic 認證的過程
由上面的實戰可以得知,Basic認證的流程很簡單,現概述如下:
1, 客戶端向服務器請求數據,並且請求的數據是需要認證才能看的,並且客戶端目前沒有認證過。
2, 訪問的頁面需要認證,客戶端彈出認證窗口。
認證窗口關閉之前,瀏覽器狀態一直是:pending等待用戶輸入。
點擊 x 或取消,將會出現401狀態碼,響應內容如下:
響應頭中有一句話:
WWW-Authorization: Basic realm="guilin photos" 表示需要認證,提示信息為:guilin photos
3, 刷新頁面,輸入正確的用戶名和密碼,將會進入到我們的項目中
輸入用戶名和密碼的請求信息頭如下:
這是我們的認證信息。加密策略如下:
用戶名和密碼用:合並,將合並后的字符串使用BASE64加密為密文,每次請求時,將密文附於請求頭中,服務器接收此密文,進行解析,判斷是否認證
Java 實現
我們知道了流程,當然可以用代碼來實現。
核心代碼:
HttpSession session = request.getSession(); String user = (String) session.getAttribute("user"); String pass; if (user == null) { try { response.setCharacterEncoding("utf-8"); PrintWriter out = response.getWriter(); String authorization = request.getHeader("Authorization"); if (authorization == null || authorization.equals("")) { response.setStatus(401); response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\""); out.print("401 認證失敗"); return; } String userAndPass = new String(new BASE64Decoder().decodeBuffer(authorization.split(" ")[1])); if (userAndPass.split(":").length < 2) { response.setStatus(401); response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\""); out.print("401 認證失敗"); return; } user = userAndPass.split(":")[0]; pass = userAndPass.split(":")[1]; if (user.equals("111") && pass.equals("111")) { session.setAttribute("user", user); // 跳轉合適的地方 } else { response.setStatus(401); response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\""); out.print("401 認證失敗"); return; } } catch (Exception ex) { ex.printStackTrace(); } } else { // 跳轉合適的地方 }
Basic認證的核心就是響應401狀態碼,告知瀏覽器需要用戶輸入用戶名和密碼,然后就是后台按照Basic加密的方式進行解密驗證即可。
缺點
HTTP基本認證的目標是提供簡單的用戶驗證功能,其認證過程簡單明了,適合於對安全性要求不高的系統或設備中,
如大家所用路由器的配置頁面的認證,幾乎都采取了這種方式。
其缺點是沒有靈活可靠的認證策略,另外,BASE64的加密強度非常低,直接能在請求頭中看到,幾乎相當於明文了。
https://segmentfault.com/a/1190000004406025