Openfire 中SASL的认证方式之:PLAIN,DIGEST-MD5,anonymous

最新推荐文章于 2024-05-12 05:00:18 发布
最新推荐文章于 2024-05-12 05:00:18 发布
阅读量1.6w 收藏 3
点赞数 2
分类专栏: XMPP 文章标签: SASL认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coding_me/article/details/39524137
版权
SASL  的认证方式包括:
    1. PLAIN: plain是最简单的机制,但同时也是最危险的机制,因为身份证书(登录名称与密码)是以base64字符串格式通过网络,没有任何加密保护措施。因此,使用plain机制时,你可能会想要结合tls。
     
     2.DIGEST-MD5:使用这种机制时,client与server共享同一个隐性密码,而且此密码不通过网络传输。验证过程是从服务器先提出challenge(质询)开始, 客户端使用此challenge与隐性密码计算出一个response(应答)。不同的challenge,不可能计算出相同的response;任何拥 有secret password的一方,都可以用相同的challenge算出相同的response。因此,服务器只要比较客户端返回的response是否与自己算 出的response相同,就可以知道客户端所拥有的密码是否正确。由于真正的密码并没有通过网络,所以不怕网络监测。
      3.   anonymous:   anonymous机制对smtp没有意义,因为smtp验证的用意在于限制转发服务的使用对象,而不是为了形成open relay,sasl之所以提供这种机制,主要是为了支持其他协议。
     

     PLAIN 方式的认证流程:
         由于是在SASL的认证方式,所以客户端必须要打开SASL认证的模式。
           config.setSecurityMode(SecurityMode. enabled );

    config.setSASLAuthenticationEnabled(  true );

  并且在客户端要声明,客户端必须支持PLAIN模式:
   
     SASLAuthentication.supportSASLMechanism( "PLAIN" );

   这样再客户端接下的来的认证过程中就会传输:
     <auth mechanism="PLAIN" xmlns="urn:ietf:params:xml:ns:xmpp-sasl">c3lzYWRtaW4Ac3lzYWRtaW4AMTIz</auth> 数据包,接下来服务器端就会对这个数据包进贤处理。

   我的服务器端是结合中Openfire进行开发的,当数据包到达时,服务器端会进行如下处理:
    if  ( "auth"  .equals(tag)) {
                // User is trying to authenticate using SASL
                startedSASL  =  true ;
                // Process authentication stanza
                saslStatus  = SASLAuthentication.handle( session , doc);

  在服务器端接下来的处理过程中,就是通过SaslServer 来进行客户端用户名和密码的认证。SaslServer进行java.sercurity 中的类。
  

        SaslServer ss = Sasl. createSaslServer (mechanism,
                                        "xmpp" , session.getServerName(), props,
                                        new  XMPPCallbackHandler());

   这里主要使用SaslServer 创建SASL服务器端。
    制创建一个  SaslServer 。 此方法使用  JCA Security Provider Framework (在 "Java Cryptography Architecture API Specification & Reference" 中所有描述)来查找和选择  SaslServer  实现。 首先,它从 "SaslServerFactory" 服务的已注册安全提供者和指定的 SASL 机制中获得  SaslServerFactory  实例的有序列表。然后它在列表中的每个工厂实例上调用  createSaslServer() ,直到某个调用生成一个非 null 的  SaslServer  实例为止。此方法返回非 null 的  SaslServer  实例,如果搜索无法生成非 null 的 SaslServer  实例,则返回 null。

   在这里在Openfire中的:org.jivesoftware.openfire.sasl 中的SaslServerFactoryImpl 类实现了,javax.security.sasl.SaslServerFactory,这样在创建SaslServer的时候,就会调用这个具体的实现来进行创建。
     在这里在 SASLAuthentication 的初始化过程中,在initMechanisms 方法中,就初始化了 SaslServerFactory 的类的路径。
  在程序运行过程中,就会根据客户端发送的PLAIN 模式,创建SaslServer,并进行处理。
  在 SaslServerPlainImpl 类中,可以获得客户端发送过来的用户名和密码,这里都是明文进行了传输,可以获得客户端发送的数据。这样   在 XMPPCallbackHandler 中就可以获得客户端发送的用户名和密码,然后接下来就是对用户的用户名和密码进行认证。


  
DIGEST-MD5 :
    当服务器端支持   DIGEST-MD5 时,如果客户端不明确声明支持的认证方式,默认会使用  DIGEST-MD5 来进行客户端的认证。
    在认证过程中客户端发送: <auth mechanism="DIGEST-MD5" xmlns="urn:ietf:params:xml:ns:xmpp-sasl"></auth>
  服务器端,接收到消息后进行处理:
     if  ( mechanisms  .contains(mechanism)) {
                          // 被选的SASL的机制,需要服务器发送一个 challenge

                        System.  out .println(  "password------------call---back----"
                                  + mechanism);
                          try  {
                             Map<String, String> props =  new  TreeMap<String, String>();
                             props.put(Sasl.  QOP ,  "auth" );
                               if  (mechanism.equals( "GSSAPI"  )) {
                                  props.put(Sasl.  SERVER_AUTH ,  "TRUE" );
                             }
                             SaslServer ss = Sasl.createSaslServer(mechanism,
                                        "xmpp" , session.getServerName(), props,
                                        new  XMPPCallbackHandler());
                               // evaluateResponse doesn't like null parameter
                               byte [] token =  new  byte [0];
                               if  (doc.getText().length() > 0) {
                                    // If auth request includes a value then validate it
                                  token = StringUtils.decodeBase64(doc.getText()
                                           .trim());
                                    if  (token ==  null ) {
                                      token =  new  byte [0];
                                  }
                             }
                               if  (mechanism.equals( "DIGEST-MD5"  )) {
                                    // RFC2831 (DIGEST-MD5) says the client MAY provide
                                    // an initial response on subsequent
                                    // authentication. Java SASL does not (currently)
                                    // support this and thows an exception
                                    // if we try. This violates the RFC, so we just
                                    // strip any initial token.
                                  token =  new  byte [0];
                             }
                               byte [] challenge = ss.evaluateResponse(token);
                               if  (ss.isComplete()) {
                                  System.  out .println(  "ss------------------has---complete--------"  );
                                   authenticationSuccessful(session,
                                           ss.getAuthorizationID(), challenge);
                                  status = Status. authenticated ;
                             }  else  {
                                  System.  out .println(  "ss----------not--------has---complete--------"  );
                                    // Send the challenge
                                   sendChallenge(session, challenge);
                                  status = Status. needResponse ;
                             }
                             session.setSessionData(  "SaslServer" , ss);
 在这里服务器端接收客户端发送的数据信息,并且创建 SaslServer ,在创建  SaslServer server的时候,会在  java.security.Provider 中查询,服务器端设置的进行对认证方式实例化的类, ,在这里继承的 java.security.Provider 的类中,没有定义对   DIGEST-MD5 的具体实现,就采用系统默认的方式来实例化 SaslServer。接下来的过程就是服务器端向客户端发送 challenge 数据包,
      <challenge xmlns="urn:ietf:params:xml:ns:xmpp-sasl">cmVhbG09InNtYXJ0Y29vbCIsbm9uY2U9Ind2aGNoTTFsS0dudXY0dFpOUDZxWlp3dG5WUENkTHRDUDdBNkVLcWoiLHFvcD0iYXV0aCIsY2hhcnNldD11dGYtOCxhbGdvcml0aG09bWQ1LXNlc3M=</challenge>

然后客户端发送,response 数据包进行匹配:
     <response xmlns="urn:ietf:params:xml:ns:xmpp-sasl">dXNlcm5hbWU9InN5c2FkbWluIixyZWFsbT0ic21hcnRjb29sIixjbm9uY2U9IjM3ZjJmNWUwMTQ3MWQ4ZWNkOWFmZWE1MjQyYWIyODMyMjE3MWNjOWNmNzU3MzczNTA1MGY2MjU1MjE2NTUzOTUiLG5jPTAwMDAwMDAxLHFvcD1hdXRoLGRpZ2VzdC11cmk9InhtcHAvc21hcnRjb29sIixyZXNwb25zZT04ODBlMGU5YmYxZDYyMzI4Mjg5Nzg5MDYwNzAyNTQ5ZCxjaGFyc2V0PXV0Zi04LG5vbmNlPSJ3dmhjaE0xbEtHbnV2NHRaTlA2cVpad3RuVlBDZEx0Q1A3QTZFS3FqIg==</response>

  然后也会调用对应的 NameCallBack 和 PasswordCallBack 来验证登录用户的用户名和密码。

  当认证成功后,服务端发送:
      <success xmlns="urn:ietf:params:xml:ns:xmpp-sasl">cnNwYXV0aD1iNWI4YmQ5Y2NjYjAyYjNiMDcxMDgzNzA5NDJiZDA4Yg==</success>
  这样客户端和服务器就认证成功了。

  3. anonymous 匿名登录:
       客户端在登录时,指明登录的方式, connection.loginAnonymously();
    客户端在认证时,发送数据包: <auth mechanism="ANONYMOUS" xmlns="urn:ietf:params:xml:ns:xmpp-sasl"></auth> 指明认证的方式为: ANONYMOUS。
     
      服务器端接收数据后,进行处理:
      

        在处理时:
  
         
     直接向客户端发送认证成功的数据包:
        
一根烟一杯茶
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
openfire-gojara-plugin:实施XEP-0321-远程名册管理
05-22
Openfire Gojara插件 实现。 CI构建状态 报告问题 问题可以报告给或通过此仓库的。
openfire-restAPI-plugin:允许通过RESTful API进行Openfire管理
02-11
功能清单获取所有或特定用户的概述,并创建,更新或删除用户获取所有或特定组的概述,并创建,更新或删除组概述所有用户名册条目,并添加,更新或删除名册条目将用户添加到组并从组删除用户锁定,解锁或踢用户...
openfire2种认证方式
厚积薄发的博客
11-23 1525
 (一)控制台后台登陆过程 直接传递用户名和密码再后台authprovide的实现类里面做验证 方法是:public void authenticate(String username, String password) (二)客户端与服务器认证过程 通过sasl进行验证,好处,不需要传递密码,挑战值只使用一次,根据某种规则生成response 流程如下 客户
openfire xmpp sasl 浅析
weixin_33896069的博客
08-26 119
SASL全称Simple Authentication and S...
2024年网络安全最新Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证,2024年最新网络安全社招面试题
最新发布
2401_84520093的博客
05-12 790
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
openfire SASL的使用与SASL协商
一个Java菜鸟(同微信公众号)
08-25 3018
SASL定义 SASL的范本需求里面要求使用的协议定义必须提供以下信息. 服务名: "xmpp" 初始化序列: 在初始化实体提供一个打开的XML流头之后,接收方实体以同样的方式应答, 接收方实体提供一个可接受的验证方法的列表. 初始化实体从列表里选择一个方法并在放在元素的'mechanism'属性的值里发送给接收方实体, 可选择包含一个初始化应答以避免多一个来回. 交
(转)Openfire SASL认证方式之:PLAINDIGEST-MD5anonymous
07-12 260
转:http://blog.csdn.net/coding_me/article/details/39524137 SASL认证方式包括: 1. PLAINplain是最简单的机制,但同时也是最危险的机制,因为身份证书(登录名称与密码)是以base64字符串格式通过网络,没有任何加密保护措施。因此,使用plain机制时,你可能会想要结合tls。 ...
openfire用户验证知多少
rongwenbin的专栏
09-23 714
一、SASL概念 1、SASL跟OF什么关系? Openfire(简称of),他是基于XMPP协议开发的,XMPP架构如下:    2、SASL到底是什么? 引用百度百科的废话:http://baike.baidu.com/view/1014674.htm SASL全称Simple Authentication and Security Layer,是一种用来扩充C/S模式验证能力
openfire-pade-plugin:Openfire的插件,可提供基于Web的统一通信-聊天,群组聊天,电话,音频和视频会议
03-21
Pàdéfor Openfire该项目为Openfire提供了基于Web的统一通信解决方案。基于点对点的聊天,持续的群聊,音频,视频会议和实时流媒体,电话会议它包括第三方产品,特别是: 项目; 项目; Web客户端。 项目。基于项目...
openfire-ofmeet-plugin:开火会议
05-31
将 offocus 和 ofmeet 插件安装到您的 Openfire 实例。 制作说明 该项目是一个 Apache Maven 项目,并使用标准 Maven 调用构建: mvn clean package 成功执行后,这两个插件应该在以下位置可用: offocus/...
MD5 digest 算法
11-16
用户输入需要通过MD5 digest的内容,程序给出digest输出结果
kafka安全认证与授权(SASL/PLAIN
u011618288的博客
02-09 8098
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
pyxmpp自带的demo 连接服务器出现SASL authentication failed
YANGJINBIN的博客
12-12 650
C:\Users\Jackie\Downloads\pyxmpp2\examples>send_message_client.py Your jid: yang@10.2.*.*2 Your password: Target jid: feng@10.2.*.* Message: sfsdf INFO:root:-- Connecting to 10.2.*.*:5222... INF...
LDAP报错:0: NO "authentication failed"
周源的专栏
10-30 2675
执行命令行: # testsaslauthd -u username -p password 报错0: NO "authentication failed" 解决方法: # vim /etc/sysconfig/saslauthd 修改 MECH=shadow 重启: service saslauthd restart
SASL - 简单认证和安全层
weixin_33809981的博客
11-21 1234
SASL - 简单认证和安全层   SASL是一种用来扩充C/S模式验证能力的机制认证机制, 全称Simple Authentication and Security Layer.当你设定sasl时,你必须决定两件事;一是用于交换“标识信 息”(或称身份证书)的验证机制;一是决定标识信息存储方法的验证架构。sasl验证机制规范client与server之间的应答过程以及传输内容的编码方法...
XMPP客户端登录开发详解
努力,可能成功!放弃,注定失败!
02-02 605
XMPP客户端登录开发详解 OpenfireXMPP登录 由上篇文章将了如何在MAC本地搭建一个Openfire服务器,今天我们就要着手使用 XMPPFramework来开发 基于XMPP 协议的即时通讯IOS 客户端系统。今天主要看登录功能开发,可能有人会质疑,我们都没有开发注册功能,怎么开发登录功能。注册账号我们有捷径,服务器都在本地,当然很好做了。另外就是通过MAC 自带的客
华为 “OSPF” 认证配置
weixin_44551911的博客
09-07 8983
OSPF支持报文验证功能,只有通过验证的报文才能接收,否则将不能正常建立邻居关系。OSPF协议支持两种认证方式:区域认证和链路认证。使用区域认证时,一个区域所有的路由器在该区域下的认证模式和口令必须一致;OSPF链路认证相比于区域认证更加灵活,可专门针对某个邻居设置独立的认证模式和密码。如果同时配置了接口认证和区域认证时,优先使用接口认证建立OSPF邻居。 每种认证方式又分为简单验证模式,MD5验证模式和Key chain验证模式。简单验证模式在数据传递过程认证密钥和密钥ID都是明文传输,容易被截获;
smack-openfire
10-27
Smack-Openfire是基于Java语言的开源软件库,用于实现XMPP(可扩展通信和跨网络传输协议)协议的客户端。它是为了简化开发者在Android、Java和其他基于Java的平台上构建聊天应用程序的过程。 首先,Smack-Openfire提供了一组易于使用的API,使开发者能够快速创建聊天应用程序。它允许开发者轻松地建立与Openfire服务器的连接,并实现基本的聊天功能,如发送消息、接收消息和处理聊天室等。 其次,Smack-Openfire支持通用的即时通讯功能,如多用户聊天、群组聊天和一对一聊天等。开发者可以根据应用程序的需求选择适当的聊天方式,并使用Smack-Openfire提供的API进行实现。 此外,Smack-Openfire还支持扩展功能。它提供了很多现成的扩展插件,以及自定义扩展的能力,使开发者能够根据自己的需求添加额外的功能和特性。 总的来说,Smack-Openfire是一个强大而灵活的开源软件库,对于构建聊天应用程序来说是一个很好的选择。它提供了丰富的功能和易于使用的API,使开发者能够快速构建出功能强大的聊天应用程序。无论是开发Android应用还是基于Java的应用,Smack-Openfire都能给予很大的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值