Basic認證
Basic 概述
Basic 認證是HTTP 中很是簡單的認證方式,由於簡單,因此不是很安全,不過仍然很是經常使用。html
當一個客戶端向一個須要認證的HTTP服務器進行數據請求時,若是以前沒有認證過,HTTP服務器會返回401狀態碼,要求客戶端輸入用戶名和密碼。用戶輸入用戶名和密碼後,用戶名和密碼會通過BASE64加密附加到請求信息中再次請求HTTP服務器,HTTP服務器會根據請求頭攜帶的認證信息,決定是否定證成功及作出相應的響應。java
使用Tomcat進行Basic認證
若是熟悉Tomcat的朋友,確定知道Tomcat自帶的有個manager項目,訪問這個項目須要Basic認證。web
下面咱們來給咱們本身的項目加Basic認證。瀏覽器
配置項目的 web.xml
示例:tomcat
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="WebApp_ID" version="3.0">
<display-name>lvyou</display-name>
<servlet>
<servlet-name>home</servlet-name>
<servlet-class>com.coder4j.web.servlet.HomeServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>home</servlet-name>
<url-pattern>/home.do</url-pattern>
</servlet-mapping>
<!-- 下面是Basic認證配置 -->
<security-constraint>
<web-resource-collection>
<web-resource-name>GuiLin</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>lvyou</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>guilin photos</realm-name>
</login-config>
<!-- Basic認證配置結束 -->
<welcome-file-list>
<welcome-file>index.html</welcome-file>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
</web-app>
對上面加註釋的部分進行簡單的解釋:安全
web-resource-name: 給這個認證起個名字服務器url-pattern: 哪些地址須要認證,/*表示此項目的任意地址都須要認證,/lvyou/*表示/lvyou下的任意地址都須要認證。sessionrole-name: 哪些角色的用戶認證後能夠訪問此資源(光認證還不夠喲,必須得是許可的角色喲),我這裏規定必須是lvyou這個角色的用戶才能看個人照片。appauth-method: 認證方式爲BASIC認證。jsprealm-name: 給出的認證提示。
修改 tomcat-users.xml
tomcat 提供了用戶配置文件,咱們直接使用就好了。
<?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="lvyou"/> <user username="tom" password="tomcat" roles="lvyou"/> </tomcat-users>
至此,兩步就完成了Basic 認證,若是想訪問個人照片,就須要輸入tom 和 tomcat才行喲。
固然配置方式不止這一種,網上一搜不少的,有機會再整理一部分,這裏僅僅想介紹Basic認證。
Basic 認證的過程
由上面的實戰能夠得知,Basic認證的流程很簡單,現概述以下:
1, 客戶端向服務器請求數據,而且請求的數據是須要認證才能看的,而且客戶端目前沒有認證過。
2, 訪問的頁面須要認證,客戶端彈出認證窗口。
認證窗口關閉以前,瀏覽器狀態一直是:pending等待用戶輸入。
點擊 x 或取消,將會出現401狀態碼,響應內容以下:
響應頭中有一句話:
WWW-Authorization: Basic realm="guilin photos"
表示須要認證,提示信息爲:guilin photos
3, 刷新頁面,輸入正確的用戶名和密碼,將會進入到咱們的項目中
輸入用戶名和密碼的請求信息頭以下:
這是咱們的認證信息。加密策略以下:
用戶名和密碼用:合併,將合併後的字符串使用BASE64加密爲密文,每次請求時,將密文附於請求頭中,服務器接收此密文,進行解析,判斷是否定證
Java 實現
咱們知道了流程,固然能夠用代碼來實現。
核心代碼:
HttpSession session = request.getSession();
String user = (String) session.getAttribute("user");
String pass;
if (user == null) {
try {
response.setCharacterEncoding("utf-8");
PrintWriter out = response.getWriter();
String authorization = request.getHeader("Authorization");
if (authorization == null || authorization.equals("")) {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");
out.print("401 認證失敗");
return;
}
String userAndPass = new String(new BASE64Decoder().decodeBuffer(authorization.split(" ")[1]));
if (userAndPass.split(":").length < 2) {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");
out.print("401 認證失敗");
return;
}
user = userAndPass.split(":")[0];
pass = userAndPass.split(":")[1];
if (user.equals("111") && pass.equals("111")) {
session.setAttribute("user", user);
// 跳轉合適的地方
} else {
response.setStatus(401);
response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");
out.print("401 認證失敗");
return;
}
} catch (Exception ex) {
ex.printStackTrace();
}
} else {
// 跳轉合適的地方
}
Basic認證的核心就是響應401狀態碼,告知瀏覽器須要用戶輸入用戶名和密碼,而後就是後臺按照Basic加密的方式進行解密驗證便可。
缺點
HTTP基本認證的目標是提供簡單的用戶驗證功能,其認證過程簡單明瞭,適合於對安全性要求不高的系統或設備中,如你們所用路由器的配置頁面的認證,幾乎都採起了這種方式。其缺點是沒有靈活可靠的認證策略,另外,BASE64的加密強度很是低,直接能在請求頭中看到,幾乎至關於明文了。
- 1. BASIC認證
- 2. HTTP Basic Authentication認證
- 3. basic 認證機制
- 4. 詳解BASIC認證
- 5. basic認證和組賬號認證
- 6. 【Http認證方式】——Basic認證
- 7. HTTP認證之基本認證——Basic(一)
- 8. basic認證和組帳號認證
- 9. HTTP認證之基本認證——Basic(二)
- 10. HTTP認證之基本認證——Basic
- 更多相關文章...
- • MySQL默認值(DEFAULT) - MySQL教程
- • XSL-FO basic-link 對象 - XSL-FO 教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • 再有人問你分佈式事務,把這篇扔給他
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. BASIC認證
- 2. HTTP Basic Authentication認證
- 3. basic 認證機制
- 4. 詳解BASIC認證
- 5. basic認證和組賬號認證
- 6. 【Http認證方式】——Basic認證
- 7. HTTP認證之基本認證——Basic(一)
- 8. basic認證和組帳號認證
- 9. HTTP認證之基本認證——Basic(二)
- 10. HTTP認證之基本認證——Basic