至 Java SE 6.0 为止,Authentication 支持的认证方式有:
- HTTP Basic authentication
- HTTP Digest authentication
- NTLM
- Http SPNEGO Negotiate
- Kerberos
- NTLM
这里我们着重介绍 NTLM。
NTLM 是 NT LAN Manager 的缩写。早期的 SMB 协议在网络上明文传输口令,这是很不安全的。微软随后提出了 WindowsNT 挑战/响应验证机制,即 NTLM。
NTLM 协议是这样的:
- 客户端首先将用户的密码加密成为密码散列;
- 客户端向服务器发送自己的用户名,这个用户名是用明文直接传输的;
- 服务器产生一个 16 位的随机数字发送给客户端,作为一个 challenge(挑战) ;
- 客户端用步骤1得到的密码散列来加密这个 challenge ,然后把这个返回给服务器;
- 服务器把用户名、给客户端的 challenge 、客户端返回的 response 这三个东西,发送域控制器 ;
- 域控制器用这个用户名在 SAM 密码管理库中找到这个用户的密码散列,然后使用这个密码散列来加密 challenge;
- 域控制器比较两次加密的 challenge ,如果一样,那么认证成功;
Java 6 以前的版本,是不支持 NTLM 认证的。用户若想使用 HttpConnection 连接到一个使用有 Windows 域保护的网站时,是无法通过 NTLM 认证的。另一种方法,是用户自己用 Socket 这样的底层单元实现整个协议过程,这无疑是十分复杂的。
终于,Java 6 的 Authentication 类提供了对 NTLM 的支持。