HTTP 验证 Tomcat中进行基本验证 (Basic Authentication) 和摘要验证 (Digest Authentication)

最新推荐文章于 2024-06-21 01:37:04 发布
最新推荐文章于 2024-06-21 01:37:04 发布
阅读量1.3w 收藏 11
点赞数 1
分类专栏: Server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/renminzdb/article/details/42422141
版权

HTTP 验证

HTTP 协议提供验证机制来保护资源。当一个请求要求取得受保护的资源时,网页服务器回应一个 401 Unauthorized error 错误码。这个回应包含一个指定了验证方法和领域的 WWW-Authenticate 头信息。把这个领域想像成一个存储着用户名和密码的数据库,它将被用来标识受保护资源的有效的用户。比如,你试着去访问某个网站上标识为“Personal Files”的资源,服务器响应可能是:WWW-Authenticate: Basic realm="Personal Files" (假设验证方法是 Basic)。

验证方法

现在有几种用于网络应用的验证方法,其中最广泛使用的是基本验证 (Basic Authentication) 和摘要验证 (Digest Authentication)。

当用户想要访问有限的资源时,使用基本验证方法的网页服务器会要求浏览器询显示一个对话框,并要求用户输入用户名和密码。如果用户输入的用户名和密码正确,服务器就允许他访问这些资源;否则,在接连三次尝试失败之后,会显示一个错误消息页面。这个方法的缺点是用户名和密码都是用 Base64 编码 (全是可读文本) 之后传输过去的。也就是说,这个验证方法的安全程度只是和 Telnet 一样,并不是非常安全。

数据验证方法不会在网络中传输密码,而是生成一些数字 (根据密码和其它一些需要的数据产生的) 来代替密码,而这些数字是经过 MD5 (Message Digest Algorithm) 加密的。生成的值在网络有随着服务器需要用来校难密码的其它信息一起传输。这个方法明显更为安全。

基于表单的验证方法和基本验证方法类似,只是服务器使用你自定义的登录页面来代替了标准的登录对话框。

最后,客户证书验证使用 SLL (Secure Socket Layer,安全套接层) 和客户证明。

在 Tomcat 下保护资源

你可以在 tomcat-users.xml 文件中写一个用户及其角色的列表。这个文件在 TOMCAT_HOME (你安装 Tomcat 的目录) 下的 conf 目录中。这个文件默认包含了三个用户 (tomcat、role1、both) 的定义。下面一段 XML 代码是我添加了两个新用户 (qusay 和 reader) 之后的 tomcat-users.xml:


<tomcat-users>
<user name="tomcat" password="tomcat" roles="tomcat" />
<user name="role1" password="tomcat" roles="role1" />
<user name="both" password= "tomcat" roles="tomcat,role1" />
<user name="qusay" password="guesswhat" roles="author" />
<user name="reader" password="youguess" roles="reader" />
</tomcat-users>

最低0.47元/天 解锁文章
renminzdb
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BasicAuthentication:使用tomcat基本身份验证
05-19
#RESTful Web服务基本身份验证 基本身份验证是保护任何URL的最简单方法。 用户应具有服务器访问URL的权限。 这是容器管理的身份验证。 #什么是身份验证? 是识别可以访问系统的用户的过程。 Http基本身份验证是RESTful安全性的第一步。 有很多方法可以实现RESTful安全性,基本身份验证是顶级安全性,其使用Base64编码的字符串访问服务器。 ###笔记 - 基本身份验证不是100%安全的,因为它不能对密码进行严格加密。 我们需要在客户端和服务器之间使用HTTPS或其他加密机制。 #Flow以下步骤实现基本身份验证 ##步骤1 使用泽西RESTful API开发Restful Web服务。 如果您不知道如何在Jersey开发Web服务,请阅读我以前的。 第2步 打开web.xml文件,然后将以下代码添加到web-app标签内。 <!--?xml ve
【原】HTTP 验证 Tomcat进行基本验证 (Basic Authentication) 和摘要验证 (Digest Authentication)...
我是程序员,为了最后的阵地
09-11 502
HTTP 验证HTTP 协议提供验证机制来保护资源。当一个请求要求取得受保护的资源时,网页服务器回应一个 401 Unauthorized error 错误码。这个回应包含一个指定了验证方法和领域的 WWW-Authenticate 头信息。把这个领域想像成一个存储着用户名和密码的数据库,它将被用来标识受保护资源的有效的用户。比如,你试着去访问某个网站上标识为“Personal Files”的资...
Java【算法 04】HTTP的认证方式之DIGEST认证详细流程说明及举例
最新发布
2401_84264536的博客
06-21 438
然后将客户端发送的响应字符串和服务器端生成的响应字符串进行比较。客户端接收到401响应,表示需要进行认证,客户端提示用户输入他们的用户名和密码,然后响应一个新的请求,该请求在 Authorization。服务器返回响应: 如果服务器验证成功,它会返回请求的资源内容给客户端,同时在响应的头部包含认证成功的标识。客户端发送响应: 客户端将生成的响应字符串发送给服务器,放在请求的"Authorization"头部。如果服务器验证成功,它会返回请求的资源内容给客户端,同时在响应的头部包含认证成功的标识。
tomcat启用 BASIC authentication,使用数据库身份认证,口令MD5加密
杨江的IT分享专栏
10-18 3021
=================================================================================== 准备数据库: 表名 users 列名 值 username user11 password 698d51a19d8a121ce581499d7b701668 是口令111的MD5 3
Tomcat实现基本HTTP方式的验证
weixin_34126215的博客
03-04 358
1、实现基本验证 (1)在C:\jakarta-tomcat-5.0.19\conf下的tomcat-users.xml文件添加角色和用户(可以同时添加多个用户) <role rolename="users"/> <user name="yang"password="12345678" roles="users"/> <user name=...
Tomcat配置Basic Authentication
kongxx的专栏
03-17 5003
Tomcat配置Basic Authentication创建Web App首先准备一个Tomcat环境,这里使用的Tomcat7.x。创建一个简单的web app用来测试,这里假定使用myapp。添加依赖库因为需要获取用户登录的用户名和密码,所以使用了apache的commons-codec库来解码,可以从apache的网站上下载commons-codec-1.10.jar包,并放到myapp/WE
Tomcat7.0 64位
01-17
6. **安全性增强**:支持JAAS(Java Authentication and Authorization Service),可以配置多种认证机制,如Basic Auth、Digest Auth等,以增强服务器的安全性。 7. **性能优化**:Tomcat7.0对内存管理和线程池...
Tomcat6_0_18 源代码 src
04-11
源码,我们能看到JAAS(Java Authentication and Authorization Service)的集成,以及各种认证方法如BasicDigest、Form等的实现。 6. **线程池与并发控制** Tomcat6.0.18的线程池模型是基于Executor框架的,...
tomcat_7.0
02-07
6. **安全增强**:支持JAAS(Java Authentication and Authorization Service),可以配置多种认证机制,如Basic Auth、Digest Auth等,并提供角色基础的访问控制。 7. **多应用支持**:Tomcat 7.0可以同时部署多个...
Spring Security 文教程.pdf
12-06
9. Basic基本)和Digest摘要验证 9.1. BasicAuthenticationFilter 9.1.1. 配置 9.2. DigestAuthenticationFilter 9.2.1. Configuration 10. Remember-Me认证 10.1. 概述 10.2. 简单基于散列标记...
tomcat
04-23
Tomcat提供了多种安全机制,如角色基础的访问控制(RBAC)、SSL/TLS加密、BasicDigest或Form认证等。通过`conf/server.xml`的`<Realm>`元素和`<Security-constraint>`元素进行配置。 **八、Tomcat性能优化** ...
Tomcat Basic Authentication
TragicEnding的专栏
01-07 1044
Add authen role and account Config in tomcat-users.xml Effective authen role and account by Database Realm Config in server.xml <Resource name="UserDatabase" auth="C
Tomcat 配置设置https访问(单向验证)
雕刻时间的专栏
09-13 362
[b]注1:[/b]以下内容SSL链路加密(对来往数据进行加密)或单向验证(只验证服务端)的步骤,也是tomcat配置https双向验证的一部分。双向验证需要使用两对证书,客户端与服务端互相交换公钥,发送消息时A使用自己的私钥加密数据,B使用A的公钥解密。 [b]注2:[/b]分析IE实现实现SSL连接的的证书双向认证过程: 在地址栏输入https://localhost:8443 客户...
Tomcat下webapps访问认证BASIC Authentication设置
LuYiming_Ben的博客
08-30 957
今天主要练习了tomcat下访问认证的设置,也更深入一点的了解了tomcat-user.xml 首先在$CATALINA_HOME/conf/tomcat-users.xml添加用来登陆指定webapps的用户,如下 &lt;tomcat-users&gt; &lt;role rolename="tomcat"/&gt; &lt;role rolename="manag...
记录一次TOMCAT实现http BASIC认证方式
程序人生
09-12 2981
你是否记得,在进入路由器设置之前,需要输入用户名,密码之后才能继续?你是否记得,tomcat欢迎页里,管理项目的时候,需要输入用户名密码后才能继续?
Tomcat HTTP BASIC 验证
hzieept的专栏
07-22 151
Tomcat HTTP BASIC 验证 取决与 tomcat-user.xml admin /sysMgr/* tomcat BASIC HSIPCC安全验证 tomcat
HttpURLConnection POST/GET Basic Auth认证请求
跟踪世界脚步
12-17 1544
/** * 构造Basic Auth认证头信息 * * @return */ private static String getHeader() { String auth = APP_KEY + ":" + SECRET_KEY; //进行加密 byte[] encodedAuth = Base64.encodeBase64(auth.getBytes(Charset.forName("US-ASCII"))); String authHeader = "Basic .
java添加HTTP基本认证(Basic Authentication)
浪丶荡
09-06 9238
关于HTTP基本认证(Basic Authentication)的原理请参考:http://blog.csdn.net/kkdelta/article/details/28419625 如果某接口采用Http Basic Authentication基本认证,一般由服务方提供用户名密码,当需要访问这个接口时,我们需要在代码加入认证。//访问前添加认证(MyAuthenticator是自定义内部类
RFC 2617:HTTP基本摘要身份验证标准
RFC 2617,全称为《HTTP Authentication: Basic and Digest Access Authentication》,是由Network Working Group在1999年发布的标准文档,由多位专家如J. Franks、P. Hallam-Baker等共同编写。该规范主要关注于HTTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值