HTTPClient4.5.2学习笔记(四): HTTP 身份认证

最新推荐文章于 2022-07-04 11:14:48 发布
最新推荐文章于 2022-07-04 11:14:48 发布
阅读量4.1k 收藏 5
点赞数
分类专栏: HTTPClient4.X

HttpClient提供对HTTP标准规范定义的认证方案以及许多广泛使用的非标准认证方案(如NTLM和SPNEGO)的全面支持

4.1.用户凭证( User credentials)

用户认证的任何过程都需要一组可用于建立用户身份的凭据。在最简单的用户凭证就是用户名/密码对. UsernamePasswordCredentials 表示一组凭证集合,其中包括一个security principal 和一个 明文密码. 该实现对于由HTTP标准规范定义的标准认证方案。

   UsernamePasswordCredentials up=new UsernamePasswordCredentials("user","password");
   // user
    System.out.println(up.getUserPrincipal().getName());
    //user
    System.out.println(up.getUserName());
    //password
    System.out.println(up.getPassword());
NTCredentials是一个Microsoft Windows特定的实现,除了用户名/密码对之外还包括一组额外的Windows特定属性,例如用户域的名称。 在Microsoft Windows网络中,同一用户可以属于多个域,每个域具有不同的授权集

   NTCredentials creds=new NTCredentials("user", "pwd", "workstation", "domain");
    //DOMAIN/user
    System.out.println(creds.getUserPrincipal().getName());
   //pwd
    System.out.println(creds.getPassword());

4.2. 身份认证 schemes(Authentication schemes)

AuthScheme接口表示一种抽象的面向challenge-response的认证方案。 认证方案有望支持以下功能:

  • 解析并处理目标服务器响应于对受保护资源的请求发送的challenge

  • 提供已处理challenge的属性: 认证方案的类型和参数, 例如:该认证方案适用于(如果可用)的realm

  • 根据实际授权challenge生成给定的凭证集和HTTP请求的授权字符串.

请注意,认证方案可能是有状态的,涉及一系列质询 - 响应交换(challenge-response exchanges,其实这应该是密码学里面的专业术语)

HttpClient 附带了一些 AuthScheme实现 :

  • Basic:  基本认证方案如RFC 2617所定义。该认证方案不安全,因为凭证以明文形式发送。 尽管其不安全性如果与TLS / SSL加密结合使用,则基本认证方案是完全适用的。

  • Digest.  摘要认证方案如RFC 2617所定义。摘要认证方案比基本安全性更好,对于那些不希望通过TLS / SSL加密实现全传输安全性开销的应用程序,这是一个不错的选择。

  • NTLM: NTLM是由Microsoft开发的专有认证方案,针对Windows平台进行了优化。 NTLM被认为比Digest更安全。

  • SPNEGO:  SPNEGO(简单和受保护的GSSAPI协商机制)是一个GSSAPI“伪机制”,用于协商一些可能的真实机制之一。 SPNEGO最明显的用途是Microsoft的HTTP协商认证扩展。 可协商的子机制包括Active Directory支持的NTLM和Kerberos。 目前HttpClient只支持Kerberos子机制。

  • Kerberos:  Kerberos认证实现.

4.3.用户凭证生成器( Credentials provider)

Credentials providers 旨在维护一组用户凭证,并能够为特定认证范围生成用户凭据。 认证范围由主机名,端口号,域名和认证方案名称组成。 当与凭证提供者注册凭证时,可以提供通配符(任何主机,任何端口,任何领域,任何方案)而不是具体的属性值。 然后,如果无法找到直接匹配,则凭证提供者将被期望能够找到特定范围的最接近的匹配项。

HttpClient可以使用实现CredentialsProvider接口的凭证提供者的任何物理表示。 名为BasicCredentialsProvider的默认CredentialsProvider实现是由java.util.HashMap支持的简单实现。 

CredentialsProvider credentialsProvider=new BasicCredentialsProvider();
    credentialsProvider.setCredentials(new AuthScope("somehost", AuthScope.ANY_PORT), 
    		                           new UsernamePasswordCredentials("u1","p1"));
    credentialsProvider.setCredentials(new AuthScope("somehost", 8080), 
            new UsernamePasswordCredentials("u2","p2"));
    credentialsProvider.setCredentials(
    	    new AuthScope("otherhost", 8080, AuthScope.ANY_REALM, "ntlm"), 
    	    new UsernamePasswordCredentials("u3", "p3"));
    //[principal: u1]
    System.out.println(credentialsProvider.getCredentials(
    	    new AuthScope("somehost", 80, "realm", "basic")));
    //[principal: u2]
    System.out.println(credentialsProvider.getCredentials(
    	    new AuthScope("somehost", 8080, "realm", "basic")));
    //null
    System.out.println(credentialsProvider.getCredentials(
    	    new AuthScope("otherhost", 8080, "realm", "basic")));
    //[principal: u3]
    System.out.println(credentialsProvider.getCredentials(
    	    new AuthScope("otherhost", 8080, null, "ntlm")));

4.4. HTTP 身份认证和执行上下文

HttpClient依赖于AuthState类来跟踪有关身份验证过程状态的详细信息。HttpClient在HTTP请求执行过程中创建AuthState的两个实例:一个用于目标主机身份验证,另一个用于代理身份验证。如果目标服务器或代理需要用户身份验证,则相应的AuthScope实例将使用认证过程中使用的AuthScope,AuthScheme和Crednetials进行填充。可以检查AuthState,以便找出要求哪种类型的身份验证,是否找到匹配的AuthScheme实现,以及凭据提供程序是否设法找到给定身份验证范围的用户凭据。

在HTTP请求执行过程中,HttpClient将以下与认证相关的对象添加到执行上下文中:

  • Lookup :表示实际的认证方案注册表。 在本地上下文中设置的此属性的值优先于默认值。

  • CredentialsProvider:代表实际凭证Provider的实例。 在本地上下文中设置的此属性的值优先于默认值。

  • AuthState :表示实际的目标认证状态。 在本地上下文中设置的此属性的值优先于默认值。

  • AuthState:表示实际的代理身份验证状态。 在本地上下文中设置的此属性的值优先于默认值。

  • AuthCache:表示实际认证数据高速缓存的实例。 在本地上下文中设置的此属性的值优先于默认值。

可以使用本地HttpContext对象来在请求执行之前自定义HTTP认证上下文,或者在执行请求后检查其状态:

CloseableHttpClient httpclient = <...>

CredentialsProvider credsProvider = <...>
Lookup<AuthSchemeProvider> authRegistry = <...>
AuthCache authCache = <...>

HttpClientContext context = HttpClientContext.create();
context.setCredentialsProvider(credsProvider);
context.setAuthSchemeRegistry(authRegistry);
context.setAuthCache(authCache);
HttpGet httpget = new HttpGet("http://somehost/");
CloseableHttpResponse response1 = httpclient.execute(httpget, context);
<...>

AuthState proxyAuthState = context.getProxyAuthState();
System.out.println("Proxy auth state: " + proxyAuthState.getState());
System.out.println("Proxy auth scheme: " + proxyAuthState.getAuthScheme());
System.out.println("Proxy auth credentials: " + proxyAuthState.getCredentials());
AuthState targetAuthState = context.getTargetAuthState();
System.out.println("Target auth state: " + targetAuthState.getState());
System.out.println("Target auth scheme: " + targetAuthState.getAuthScheme());
System.out.println("Target auth credentials: " + targetAuthState.getCredentials());

4.5.缓存身份认证数据

从版本4.1起HttpClient自动缓存有关已成功验证的主机的信息。请注意,必须使用相同的执行上下文来执行逻辑相关的请求,以便缓存的身份验证数据从一个请求传播到另一个请求。 一旦执行上下文超出范围,认证数据就会丢失。

4.6. 预先身份认证(Preemptive authentication)

HttpClient不支持preemptive authentication的拆箱功能,因为如果 preemptive authentication使用不当可能导致重大的安全问题,例如以明文形式将用户凭证发送给未经授权的第三方。因此, 在特定的应用环境中,使用者需要事先的权衡一下preemptive authentication好处 和带来的安全风险 .

尽管如此,可以通过预先填写认证数据高速缓存来配置HttpClient来抢占。

CloseableHttpClient httpclient = <...>

HttpHost targetHost = new HttpHost("localhost", 80, "http");
CredentialsProvider credsProvider = new BasicCredentialsProvider();
credsProvider.setCredentials(
        new AuthScope(targetHost.getHostName(), targetHost.getPort()),
        new UsernamePasswordCredentials("username", "password"));

// Create AuthCache instance
AuthCache authCache = new BasicAuthCache();
// Generate BASIC scheme object and add it to the local auth cache
BasicScheme basicAuth = new BasicScheme();
authCache.put(targetHost, basicAuth);

// Add AuthCache to the execution context
HttpClientContext context = HttpClientContext.create();
context.setCredentialsProvider(credsProvider);
context.setAuthCache(authCache);

HttpGet httpget = new HttpGet("/");
for (int i = 0; i < 3; i++) {
    CloseableHttpResponse response = httpclient.execute(
            targetHost, httpget, context);
    try {
        HttpEntity entity = response.getEntity();

    } finally {
        response.close();
    }
}

4.7. NTLM 身份认证

从版本4.1开始,HttpClient全面支持NTLMv1,NTLMv2和NTLM2会话认证。 仍然可以继续使用外部NTLM引擎,例如由Samba项目开发的JCIFS库作为其Windows互操作性程序套件的一部分。

4.7.1. NTLM 连接持久化

与标准的基本和摘要方案相比,NTLM认证方案在计算开销和性能影响方面要高得多。 这可能是微软选择使NTLM认证方案有状态的主要原因之一。 也就是说,一旦被认证,用户身份在整个生命周期中与该连接相关联。 NTLM连接的有状态使得连接持久性更加复杂,因为持久的NTLM连接可能不会被具有不同用户身份的用户重新使用的明显原因。HttpClient附带的标准连接管理器完全能够管理状态连接。 但是,在同一会话中的逻辑相关请求使用相同的执行上下文以使其知道当前用户身份是至关重要的。 否则,HttpClient将最终为针对NTLM保护的资源的每个HTTP请求创建一个新的HTTP连接。 有关有状态HTTP连接的详细讨论,请参阅本节。

由于NTLM连接是有状态的,因此通常建议使用比较便捷的方法(如GET或HEAD)触发NTLM身份验证,并重新使用相同的连接来执行更耗时的方法,特别是那些包含请求实体(如POST或PUT)。

CloseableHttpClient httpclient = <...>

CredentialsProvider credsProvider = new BasicCredentialsProvider();
credsProvider.setCredentials(AuthScope.ANY,
        new NTCredentials("user", "pwd", "myworkstation", "microsoft.com"));

HttpHost target = new HttpHost("www.microsoft.com", 80, "http");

// Make sure the same context is used to execute logically related requests
HttpClientContext context = HttpClientContext.create();
context.setCredentialsProvider(credsProvider);

// Execute a cheap method first. This will trigger NTLM authentication
HttpGet httpget = new HttpGet("/ntlm-protected/info");
CloseableHttpResponse response1 = httpclient.execute(target, httpget, context);
try {
    HttpEntity entity1 = response1.getEntity();
} finally {
    response1.close();
}

// Execute an expensive method next reusing the same context (and connection)
HttpPost httppost = new HttpPost("/ntlm-protected/form");
httppost.setEntity(new StringEntity("lots and lots of data"));
CloseableHttpResponse response2 = httpclient.execute(target, httppost, context);
try {
    HttpEntity entity2 = response2.getEntity();
} finally {
    response2.close();
}

4.8. SPNEGO/Kerberos 身份认证


SPNEGO(简单和受保护的GSSAPI协商机制)旨在允许对服务进行身份验证,当两方都不知道其他用户可以使用/提供的内容时。 最常用于执行Kerberos身份验证。 它可以包装其他机制,但是HttpClient中的当前版本只是考虑到Kerberos的设计。

4.8.1. HttpClient中支持的SPNEGO

SPNEGO认证方案与Sun Java 1.5及更高版本兼容。 但是,强烈建议使用Java> = 1.6,因为它更完全支持SPNEGO身份验证。

Sun JRE提供支持类来完成几乎所有的Kerberos和SPNEGO令牌处理。 这意味着很多设置适用于GSS类。 SPNegoScheme是一个简单的类,用于处理编号,并读取和写入正确的标题。

最好的方法是在示例中获取KerberosHttpClient.java文件,并尝试使其正常工作。 有很多问题可能会发生,但如果幸运的话,它会工作没有太多的问题。 它还应该提供一些调试输出。

在Windows中,应该默认使用登录的凭据; 这可以通过使用“kinit”来覆盖。 $ JAVA_HOME \ bin \ kinit testuser@AD.EXAMPLE.NET,这对于测试和调试问题非常有帮助。 删除由kinit创建的缓存文件,以恢复到Windows Kerberos缓存。

确保在krb5.conf文件中列出domain_realms。 这是问题的主要来源。

4.8.2. GSS/Java Kerberos 设置

本文档假设您正在使用Windows,但大部分信息也适用于Unix。

org.ietf.jgss类有很多可能的配置参数,主要在krb5.conf / krb5.ini文件中。 更多关于格式的信息http://web.mit.edu/kerberos/krb5-1.4/krb5-1.4.1/doc/krb5-admin/krb5.conf.html.


  1. 客户端Web浏览器为资源提供HTTP GET

  2. Web服务器返回HTTP 401状态和标题:WWW-Authenticate:Negotiate

  3. 客户端生成一个NegTokenInit,base64对其进行编码,并使用授权头重新提交GET:授权:协商<base64 encoding>。

  4. 服务器解码NegTokenInit,提取支持的MechTypes(仅适用于我们的Kerberos V5),确保它是预期的之一,然后提取MechToken(Kerberos令牌)并进行身份验证。

    如果需要更多的处理,另一个HTTP 401将返回给具有WWW-Authenticate头中更多数据的客户端。 客户端获取信息并生成另一个令牌,将其传回授权标头,直到完成。

  5. 当客户端被认证后,Web服务器应该返回HTTP 200状态,最终的WWW-Authenticate标头和页面内容。

4.8.3. login.conf 文件配置

以下配置是在Windows XP中针对IIS和JBoss协商模块的基本设置。

系统属性java.security.auth.login.config可用于指向login.conf文件。

login.conf内容可能如下所示: 
com.sun.security.jgss.login {
  com.sun.security.auth.module.Krb5LoginModule required client=TRUE useTicketCache=true;
};

com.sun.security.jgss.initiate {
  com.sun.security.auth.module.Krb5LoginModule required client=TRUE useTicketCache=true;
};

com.sun.security.jgss.accept {
  com.sun.security.auth.module.Krb5LoginModule required client=TRUE useTicketCache=true;
};

4.8.4. krb5.conf / krb5.ini 文件配置

如果未指定,将使用系统默认值。 如果需要,可以通过将系统属性java.security.krb5.conf设置为指向自定义krb5.conf文件来覆盖。

krb5.conf内容可能如下所示: 
[libdefaults]
    default_realm = AD.EXAMPLE.NET
    udp_preference_limit = 1
[realms]
    AD.EXAMPLE.NET = {
        kdc = KDC.AD.EXAMPLE.NET
    }
[domain_realms]
.ad.example.net=AD.EXAMPLE.NET
ad.example.net=AD.EXAMPLE.NET

4.8.5. Windows 配置规范

要允许Windows使用当前user's tickets,系统属性javax.security.auth.useSubjectCredsOnly必须设置为false,并且Windows注册表项allowtgtsessionkey应该被正确添加和设置,以允许在Kerberos票证授予中发送会话密钥 票。

在Windows Server 2003和Windows 2000 SP4上,以下是必需的注册表设置:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Value Name: allowtgtsessionkey
Value Type: REG_DWORD
Value: 0x01

以下是Windows XP SP2上注册表设置的位置: 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\
Value Name: allowtgtsessionkey
Value Type: REG_DWORD
Value: 0x01





自然鸟神
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cas单点登录系统自定义Credentials/拓展UsernamePasswordCredentials
wwwcownet的专栏
08-11 2547
关于Cas单点登录系统,网上相关文章遍地都是,不再进行介绍。Cas系统默认使用UsernamePasswordCredentials来进行认证数据存储,其中只包括用户名密码两部分,如果需要从登录页面的表单中提交其他数据,需要修改部分配置。首先自己编写Java类拓展UsernamePasswordCredentials,假设拓展类为net.cow.cas.MyUsernamePasswordCredentials,其中包含和登录页面表单中其它提交数据对应的属性。打开WEB-INF/cas-servlet.xm
使用Jenkins Credentials来使用Usernamepassword
yiluoseraph的技术博客
03-03 3039
1,在Jenkins Credentials中加入自己的Usernamepassword。 2, 在groovy 文件中,获取Credentials withCredentials([[$class: 'UsernamePasswordMultiBinding', credentialsId: '<ID>', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD']]) {
HttpClient 教程 ()
weixin_33695450的博客
07-21 246
HTTP认证 HttpClient提供对由HTTP标准规范定义的认证模式的完全支持。HttpClient的认证框架可以扩展支持非标准的认证模式,比如NTLM和SPNEGO。 4.1 用户凭证 任何用户身份验证的过程都需要一组可以用于建立用户身份的凭据。用户凭证的最简单的形式可以仅仅是用户名/密码对。UsernamePasswordCredentials代表了一组包含安全规则和明文...
HttpClient4.5教程-第章-HTTP身份认证
学英语的程序员
04-09 1083
HttpClientHTTP标准规范中定义的认证机制和非标准的认证机制如NTLM和SPNEGO提供了全面的支持。 4.1 用户凭证 大部分的用户认证过程都需要一组凭证用于鉴定用户的身份,用户凭证最简单的方式就是一组 用户名/密码 对,UsernamePasswordCredentials用明文形式表示一组安全主体和密码凭证,该类一般可满足HTTP标准规范中的认证机制的要求。 //安全主体user 密码凭证pwd UsernamePasswordCredentials creds...
HttpClient4.3教程 第HTTP认证
小强博客
02-08 495
HttpClient既支持HTTP标准规范定义的认证模式,又支持一些广泛使用的非标准认证模式,比如NTLM和SPNEGO。 4.1.用户凭证 任何用户认证的过程,都需要一系列的凭证来确定用户的身份。最简单的用户凭证可以是用户名和密码这种形式。UsernamePasswordCredentials这个类可以用来表示这种情况,这种凭据包含明文的用户名和密码。 这个类对于HTTP标准规范中定...
JAVA HttpClient 远程调用接口doGet、doPost工具类
默默不代表沉默
02-28 5167
可以用于远程调用POST方式接口,GET方式接口,且里面包括了跳过SSL验证方法。 并且在常用的方法下,有注释掉的调用举例: import com.alibaba.fastjson.JSONObject; import org.apache.commons.lang.StringUtils; import org.apache.http.HttpEntity; import org.apa...
httpclient-4.5.2.jar.zip
06-29
HttpClient 4.5.2:HTTP 客户端库的深度解析》 在Java开发中,HttpClient是一个不可或缺的工具,它提供了强大的功能,用于执行HTTP请求并处理响应。HttpClient 4.5.2是这个库的一个稳定版本,带来了诸多改进和...
HttpClient4.5.2
08-12
HttpClient 4.5.2 是一个广泛使用的Java库,由Apache软件基金会开发,用于执行HTTP请求。这个版本的HttpClient是一个成熟的、功能丰富的客户端编程工具包,适用于构建复杂的、高性能的HTTP客户端应用程序。...
httpclient-4.5.2.jar
10-30
HttpClient是Apache提供的一款功能强大的HTTP客户端实现,它支持多种HTTP方法(如GET、POST等)、连接管理、身份验证、重定向处理、Cookie管理以及各种HTTP协议特性。版本4.5.2是一个稳定且广泛使用的版本,它在性能...
HTTPClient4.5.2
10-27
`HTTPClient 4.5.2` 是一个广泛使用的Java库,它提供了用于执行HTTPHTTPS请求的强大功能。这个版本是Apache HttpClient项目的一部分,致力于提供高效、灵活且可扩展的HTTP客户端实现。在本文中,我们将深入探讨这...
go-httpclient:用于golang的高级HTTP客户端
02-03
httpclient . Defaults (httpclient. Map { httpclient . OPT_USERAGENT : "my awsome httpclient" , "Accept-Language" : "en-us" , }) res , err := httpclient . Get ( "http://google.com/search" , map [ ...
JAVA实现postman中的digest认证请求
weixin_47413955的博客
07-04 1657
JAVA postman digest
httpclient用户名密码认证示例
岁月静好
10-12 1万+
package com.xs.waybill.eparcel; import java.io.File; import org.apache.commons.httpclient.HttpClient; import org.apache.commons.httpclient.UsernamePasswordCredentials; import org.apache.commons.http
Elasticsearch 配置用户名和密码
热门推荐
weixin_43315211的博客
08-16 6万+
启动 Elasticsearch 程序 [elastic@console bin]$ ./elasticsearch -d future versions of Elasticsearch will require Java 11; your Java version from [/usr/java/jdk1.8.0_181/jre] does not meet this requirem...
HttpClient4.4 登录知乎(详细过程)
weixin_34179762的博客
07-23 157
引言 HttpClient是java语言下一个支持http协议的客户端编程工具包,它实现了HTTP协议的所有方法,但是不支持JS渲染。我们在做一些小玩意时,有可能需要登录某些网站获取信息,那么HttpClient就是你的好帮手,废话不多说,进入实战。 一 登录的实际意义 在HTTP横行的今天,我们每天都要登录一些网站,那么登录的意义是什么...
httpclient之basic认证
Donny的专栏
09-05 2071
本文主要说明如何使用httpclient进行basic认证。 我们常用的登录是form形式,但也有的登录采用的basic认证,比如activeMq默认就是basic认证。 private final static CloseableHttpClient getBasicHttpClient(String username,String password) { // 创建HttpCl...
HttpClient学习之三实现Basic认证
qingqingzijinxin的专栏
09-24 1万+
HttpClient实现Basic Authentication
Rust案例分析.docx
最新发布
07-16
Rust 是一种系统编程语言,具有内存安全、并发编程和高性能等特点。下面是一个 Rust 案例分析,展示如何使用 Rust 开发一个简单的命令行程序,该程序将读取文件内容并统计文件中的单词数量。
httpClient4.1入门教程
04-26
HttpClient 4.1 是一个用纯净的 Java 语言编写的 HTTP 客户端工具包,它实现了 HTTP 1.0 和 HTTP 1.1 标准,并且支持 HTTPS 协议。对于初学者来说,HttpClient 4.1 入门教程提供了基本的使用和说明,让他们能够轻松...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值