Openfire 中SASL的认证方式之:PLAIN,DIGEST-MD5,anonymous

最新推荐文章于 2024-10-10 20:53:49 发布
最新推荐文章于 2024-10-10 20:53:49 发布
阅读量1.6w 收藏 3
点赞数 2
分类专栏: XMPP 文章标签: SASL认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coding_me/article/details/39524137
版权
SASL  的认证方式包括:
    1. PLAIN: plain是最简单的机制,但同时也是最危险的机制,因为身份证书(登录名称与密码)是以base64字符串格式通过网络,没有任何加密保护措施。因此,使用plain机制时,你可能会想要结合tls。
     
     2.DIGEST-MD5:使用这种机制时,client与server共享同一个隐性密码,而且此密码不通过网络传输。验证过程是从服务器先提出challenge(质询)开始, 客户端使用此challenge与隐性密码计算出一个response(应答)。不同的challenge,不可能计算出相同的response;任何拥 有secret password的一方,都可以用相同的challenge算出相同的response。因此,服务器只要比较客户端返回的response是否与自己算 出的response相同,就可以知道客户端所拥有的密码是否正确。由于真正的密码并没有通过网络,所以不怕网络监测。
      3.   anonymous:   anonymous机制对smtp没有意义,因为smtp验证的用意在于限制转发服务的使用对象,而不是为了形成open relay,sasl之所以提供这种机制,主要是为了支持其他协议。
     

     PLAIN 方式的认证流程:
         由于是在SASL的认证方式,所以客户端必须要打开SASL认证的模式。
           config.setSecurityMode(SecurityMode. enabled );

    config.setSASLAuthenticationEnabled(  true );

  并且在客户端要声明,客户端必须支持PLAIN模式:
   
     SASLAuthentication.supportSASLMechanism( "PLAIN" );

   这样再客户端接下的来的认证过程中就会传输:
     <auth mechanism="PLAIN" xmlns="urn:ietf:params:xml:ns:xmpp-sasl">c3lzYWRtaW4Ac3lzYWRtaW4AMTIz</auth> 数据包,接下来服务器端就会对这个数据包进贤处理。

   我的服务器端是结合中Openfire进行开发的,当数据包到达时,服务器端会进行如下处理:
    if  ( "auth"  .equals(tag)) {
                // User is trying to authenticate using SASL
                startedSASL  =  true ;
                // Process authentication stanza
                saslStatus  = SASLAuthentication.handle( session , doc);

  在服务器端接下来的处理过程中,就是通过SaslServer 来进行客户端用户名和密码的认证。SaslServer进行java.sercurity 中的类。
  

        SaslServer ss = Sasl. createSaslServer (mechanism,
                                        "xmpp" , session.getServerName(), props,
                                        new  XMPPCallbackHandler());

   这里主要使用SaslServer 创建SASL服务器端。
    制创建一个  SaslServer 。 此方法使用  JCA Security Provider Framework (在 "Java Cryptography Architecture API Specification & Reference" 中所有描述)来查找和选择  SaslServer  实现。 首先,它从 "SaslServerFactory" 服务的已注册安全提供者和指定的 SASL 机制中获得  SaslServerFactory  实例的有序列表。然后它在列表中的每个工厂实例上调用  createSaslServer() ,直到某个调用生成一个非 null 的  SaslServer  实例为止。此方法返回非 null 的  SaslServer  实例,如果搜索无法生成非 null 的 SaslServer  实例,则返回 null。

   在这里在Openfire中的:org.jivesoftware.openfire.sasl 中的SaslServerFactoryImpl 类实现了,javax.security.sasl.SaslServerFactory,这样在创建SaslServer的时候,就会调用这个具体的实现来进行创建。
     在这里在 SASLAuthentication 的初始化过程中,在initMechanisms 方法中,就初始化了 SaslServerFactory 的类的路径。
  在程序运行过程中,就会根据客户端发送的PLAIN 模式,创建SaslServer,并进行处理。
  在 SaslServerPlainImpl 类中,可以获得客户端发送过来的用户名和密码,这里都是明文进行了传输,可以获得客户端发送的数据。这样   在 XMPPCallbackHandler 中就可以获得客户端发送的用户名和密码,然后接下来就是对用户的用户名和密码进行认证。


  
DIGEST-MD5 :
    当服务器端支持   DIGEST-MD5 时,如果客户端不明确声明支持的认证方式,默认会使用  DIGEST-MD5 来进行客户端的认证。
    在认证过程中客户端发送: <auth mechanism="DIGEST-MD5" xmlns="urn:ietf:params:xml:ns:xmpp-sasl"></auth>
  服务器端,接收到消息后进行处理:
     if  ( mechanisms  .contains(mechanism)) {
                          // 被选的SASL的机制,需要服务器发送一个 challenge

                        System.  out .println(  "password------------call---back----"
                                  + mechanism);
                          try  {
                             Map<String, String> props =  new  TreeMap<String, String>();
                             props.put(Sasl.  QOP ,  "auth" );
                               if  (mechanism.equals( "GSSAPI"  )) {
                                  props.put(Sasl.  SERVER_AUTH ,  "TRUE" );
                             }
                             SaslServer ss = Sasl.createSaslServer(mechanism,
                                        "xmpp" , session.getServerName(), props,
                                        new  XMPPCallbackHandler());
                               // evaluateResponse doesn't like null parameter
                               byte [] token =  new  byte [0];
                               if  (doc.getText().length() > 0) {
                                    // If auth request includes a value then validate it
                                  token = StringUtils.decodeBase64(doc.getText()
                                           .trim());
                                    if  (token ==  null ) {
                                      token =  new  byte [0];
                                  }
                             }
                               if  (mechanism.equals( "DIGEST-MD5"  )) {
                                    // RFC2831 (DIGEST-MD5) says the client MAY provide
                                    // an initial response on subsequent
                                    // authentication. Java SASL does not (currently)
                                    // support this and thows an exception
                                    // if we try. This violates the RFC, so we just
                                    // strip any initial token.
                                  token =  new  byte [0];
                             }
                               byte [] challenge = ss.evaluateResponse(token);
                               if  (ss.isComplete()) {
                                  System.  out .println(  "ss------------------has---complete--------"  );
                                   authenticationSuccessful(session,
                                           ss.getAuthorizationID(), challenge);
                                  status = Status. authenticated ;
                             }  else  {
                                  System.  out .println(  "ss----------not--------has---complete--------"  );
                                    // Send the challenge
                                   sendChallenge(session, challenge);
                                  status = Status. needResponse ;
                             }
                             session.setSessionData(  "SaslServer" , ss);
 在这里服务器端接收客户端发送的数据信息,并且创建 SaslServer ,在创建  SaslServer server的时候,会在  java.security.Provider 中查询,服务器端设置的进行对认证方式实例化的类, ,在这里继承的 java.security.Provider 的类中,没有定义对   DIGEST-MD5 的具体实现,就采用系统默认的方式来实例化 SaslServer。接下来的过程就是服务器端向客户端发送 challenge 数据包,
      <challenge xmlns="urn:ietf:params:xml:ns:xmpp-sasl">cmVhbG09InNtYXJ0Y29vbCIsbm9uY2U9Ind2aGNoTTFsS0dudXY0dFpOUDZxWlp3dG5WUENkTHRDUDdBNkVLcWoiLHFvcD0iYXV0aCIsY2hhcnNldD11dGYtOCxhbGdvcml0aG09bWQ1LXNlc3M=</challenge>

然后客户端发送,response 数据包进行匹配:
     <response xmlns="urn:ietf:params:xml:ns:xmpp-sasl">dXNlcm5hbWU9InN5c2FkbWluIixyZWFsbT0ic21hcnRjb29sIixjbm9uY2U9IjM3ZjJmNWUwMTQ3MWQ4ZWNkOWFmZWE1MjQyYWIyODMyMjE3MWNjOWNmNzU3MzczNTA1MGY2MjU1MjE2NTUzOTUiLG5jPTAwMDAwMDAxLHFvcD1hdXRoLGRpZ2VzdC11cmk9InhtcHAvc21hcnRjb29sIixyZXNwb25zZT04ODBlMGU5YmYxZDYyMzI4Mjg5Nzg5MDYwNzAyNTQ5ZCxjaGFyc2V0PXV0Zi04LG5vbmNlPSJ3dmhjaE0xbEtHbnV2NHRaTlA2cVpad3RuVlBDZEx0Q1A3QTZFS3FqIg==</response>

  然后也会调用对应的 NameCallBack 和 PasswordCallBack 来验证登录用户的用户名和密码。

  当认证成功后,服务端发送:
      <success xmlns="urn:ietf:params:xml:ns:xmpp-sasl">cnNwYXV0aD1iNWI4YmQ5Y2NjYjAyYjNiMDcxMDgzNzA5NDJiZDA4Yg==</success>
  这样客户端和服务器就认证成功了。

  3. anonymous 匿名登录:
       客户端在登录时,指明登录的方式, connection.loginAnonymously();
    客户端在认证时,发送数据包: <auth mechanism="ANONYMOUS" xmlns="urn:ietf:params:xml:ns:xmpp-sasl"></auth> 指明认证的方式为: ANONYMOUS。
     
      服务器端接收数据后,进行处理:
      

        在处理时:
  
         
     直接向客户端发送认证成功的数据包:
        
openfire-gojara-plugin:实施XEP-0321-远程名册管理
05-22
标题 "openfire-gojara-plugin:实施XEP-0321-远程名册管理" 指的是一个专门针对Openfire服务器的Gojara插件,该插件旨在实现XEP-0321标准,即“远程名册管理”(Remote Roster Management)。XEP,扩展通讯协议...
openfire用户验证知多少
rongwenbin的专栏
09-23 736
一、SASL概念 1、SASL跟OF什么关系? Openfire(简称of),他是基于XMPP协议开发的,XMPP架构如下:    2、SASL到底是什么? 引用百度百科的废话:http://baike.baidu.com/view/1014674.htm SASL全称Simple Authentication and Security Layer,是一种用来扩充C/S模式验证能力
openfire SASL的使用与SASL协商
一个Java菜鸟(同微信公众号)
08-25 3077
SASL定义 SASL的范本需求里面要求使用的协议定义必须提供以下信息. 服务名: "xmpp" 初始化序列: 在初始化实体提供一个打开的XML流头之后,接收方实体以同样的方式应答, 接收方实体提供一个可接受的验证方法的列表. 初始化实体从列表里选择一个方法并在放在元素的'mechanism'属性的值里发送给接收方实体, 可选择包含一个初始化应答以避免多一个来回. 交
深入理解SASL身份校验及其在实际应用的优化
最新发布
陆业聪
10-10 690
本文详细介绍了SASL(简单身份验证和安全层)的基本原理、常见的身份验证方法以及在实际应用的优化策略。主要内容包括明文、挑战应答、Kerberos等身份验证方法,以及它们在不同应用场景的优势和劣势。
mysql sasl_SASL认证失败的原因(authentication failed)
weixin_42549154的博客
02-07 4193
SASL认证失败的原因(authenticationfailed)(2012-06-15 00:45:43)标签:杂谈authentication failed)SASL认证失败的原因可分为如下几个可能的方面:Permission问题:对系统用户的SASLAuth尤其重要,要保证postfix用户(smtpd)对/etc/shadow有读权限,这必须将postfix加到root组并将shadow...
linux+sasl认证失败,memcached+SASL:更安全地访问memcached
weixin_39690401的博客
05-15 301
memcached是什么memcached是一套被广泛使用的开源高性能的、分布式内存对象缓存系统。授权协议为BSD license,主要开发语言为C语言,数据以Key/Value方式存储在内存。为什么要认证memcached基于C/S架构,OpenStack的Nova等组件使用memcached作为缓存系统,由于memcached默认不开启认证机制,导致客户端无需认证即可读取、修改缓存内容。本文...
zookeeper 认证_Zookeeper 配置认证DIGEST-MD5
weixin_39787792的博客
12-12 4050
概述3.4.0+以上版本支持启用认证认证方式有Kerberos 和 DIGEST-MD5 ,本次介绍配置DIGEST-MD5认证环境准备单机环境部署伪集群部署路径/opt/software/zookeeper-1//opt/software/zookeeper-2//opt/software/zookeeper-3/修改配置Instance1Zoo.cfg=======# The number ...
openfire-restAPI-plugin:允许通过RESTful API进行Openfire管理
02-11
功能清单获取所有或特定用户的概述,并创建,更新或删除用户获取所有或特定组的概述,并创建,更新或删除组概述所有用户名册条目,并添加,更新或删除名册条目将用户添加到组并从组删除用户锁定,解锁或踢用户...
openfire-pade-plugin:Openfire的插件,可提供基于Web的统一通信-聊天,群组聊天,电话,音频和视频会议
03-21
Pàdéfor Openfire该项目为Openfire提供了基于Web的统一通信解决方案。基于点对点的聊天,持续的群聊,音频,视频会议和实时流媒体,电话会议它包括第三方产品,特别是: 项目; 项目; Web客户端。 项目。基于项目...
openfire-inverse-plugin:将inVerse Web客户端添加到Openfire
05-13
【标题】"openfire-inverse-plugin" 是一个专为Openfire设计的插件,其主要功能是集成第三方Web客户端inVerse,使用户能够通过Web界面访问和管理Openfire服务器。Openfire是一款开源、基于Java的即时通讯(IM)...
【Python】Python连接Hadoop数据遇到的各种坑(汇总)
热门推荐
wx0628的博客
01-19 1万+
最近准备使用Python+Hadoop+Pandas进行一些深度的分析与机器学习相关工作。(当然随着学习过程的进展,现在准备使用Python+Spark+Hadoop这样一套体系来搭建后续的工作环境),当然这是后话。 但是这项工作首要条件就是将Python与Hadoop进行打通,本来认为很容易的一项工作,没有想到竟然遇到各种坑,花费了整整半天时间。后来也在网上看到大家在咨询相同的问题,但是真正解决...
Springboot集成使用阿里云kafka详细步骤
直到世界的尽头
03-29 9671
转载请注明出处:Springboot集成使用阿里云kafka详细步骤 明确连接认证类型 首先要明确使用哪种连接认证类型 Ons模式参考 https://github.com/AliwareMQ/aliware-kafka-demos/tree/master/kafka-java-demo/beta Ons模式的conf内容 KafkaClient { com.aliyun.open...
MD5 加密算法详解
Mr.小强的博客
12-17 6840
MD5的概念 MD5算法是单向散列算法的一种。单向散列算法也称为HASH算法,是一种将任意长度的信息压缩至某一固定长度(称之为消息摘要)的函数(该压缩过程不可逆)。在MD5算法,这个摘要是指将任意数据映射成一个128位长的摘要信息。并且其是不可逆的,即从摘要信息无法反向推演原文。MD5算法最终生成的是一个128位长的数据,从原理上说,有2^128种可能,这是一个非常巨大的数据,...
openfire STARTTLS协商、SASL协商(用户注册过程 服务器端)
java开发指南博客 【转载】
08-19 297
原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。http://blog.csdn.net/love254443233/article/details/7884327 记录了openfire 用户注册过程(如图) 1、客户端发送注册iq节到服务器; 2、服务器接收iq节并解析iq节; 3、调用加密流程对用户的密码进行加密 ...
postfix smtp 配置sasl认证功能是, 验证 testsaslauthd 出现 0: NO “authentication failed“
mls0311的博客
04-16 1447
smtp 配置sasl认证功能 验证 testsaslauthd 出现 0: NO "authentication failed" 通过saslsaslauthd服务实现SMTP认证 的时候到验证的步骤发现 一直是认证失败 [root@medmgmt-30 examples]# testsaslauthd -u 'mail' -p '123456' 0: NO "authentication failed" 通过tail /var/log/messages 查看系统日志发现是 Apr 16
Kafka 认证一:PlainLoginModule 认证及 Java 连接测试
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
10-21 4791
项目需求是:通过 Web 页面配置 Kafka 信息并存储,且支持安全认证模式。本文介绍 Kafka 帐号密码认证的完整实践流程,自己实践一遍,才能穿起各个概念。Kafka 的 Plain 简单文本认证方式比较简单,只需要 Kafka 服务端维护用户列表,客户端同样的安全认证配置即可。
认证学习3 - Digest摘要认证讲解、代码实现、演示
weixin_39651356的博客
08-17 2209
认证学习3 -Digest摘要认证讲解、代码实现、演示
2021.01.12【perl】丨Can‘t locate Digest/MD5.pm in @INC ,sRNAnalyzer的Digest/MD5缺失报错解决办法
01-12 979
sRNAnalyzer是分析smallRNA的一个流程工具,它集合了cutadapt、bowtie、fastx_toolkit三个工具,并根据用户的需要提供了参考基因组和对应config。 对三个软件安装好之后,试运行工具,样品去接头工作结束后会发生报错,报错内容如下: 似乎是缺失了.fa文件导致后续分析无法进行,即使这样,在路径下仍然会生成两个Report文件,其一份是cutadapt的结果文件,另一个(XX_Cutadapt_Prinseq. report)文件会有另一个报错 Can'
OpenFire开发入门与XMPP详解:深入浅出的学习笔记
OpenFire开发教程》是一本由网名为莫然的作者编写的分享文档,主要针对移动互联网背景下OpenFire在企业IM系统的应用。OpenFire作为一款开源的实时消息传递平台,由于其易用性与灵活性,逐渐在国内企业受到青睐。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值