JSP强制浏览器弹出身份验证窗口

最新推荐文章于 2023-08-28 12:27:01 发布
最新推荐文章于 2023-08-28 12:27:01 发布
阅读量156 收藏
点赞数
原文链接:https://my.oschina.net/jsan/blog/104539
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

我们访问tomcat服务器的时候如果试图访问Tomcat Manager就会发现浏览器弹出一个登陆对话框,和我们平常的网页对话框不同,用jmeter创建一个http request的sampler,再建一个view result tree的lisenter来看看服务器返回了些什么污七八糟的:

HTTP response headers:
HTTP/1.1 401 Unauthorized
Pragma: No-cache
Cache-Control: no-cache
Expires: Thu, 01 Jan 1970 08:00:00 CST
WWW-Authenticate: Basic realm="Tomcat Manager Application"
Content-Type: text/html;charset=utf-8
Content-Length: 954
Date: Thu, 30 Jun 2005 09:27:26 GMT
Server: Apache-Coyote/1.1

嘿嘿,原来是一个带WWW-Authenticate的401错误啊。自己写个JSP模拟一下看看怎么样:
<%
response.addHeader("WWW-Authenticate","Basic realm=\"Tomcat Manager Application\"");
response.sendError(401,"Unauthorized");
%>

果然,一个一模一样的登陆窗口跳出来了。不过身份验证的具体过程要怎么做呢? 

<%
sun.misc.BASE64Decoder decoder = new sun.misc.BASE64Decoder();
boolean authenticated = false;
String authorization = request.getHeader("authorization");
System.out.println("authorization:" authorization);
if (authorization != null) {
 if (authorization.startsWith("Basic")){
	 authorization = authorization.substring(authorization.indexOf(' ') 1);
	 byte[] bytes = decoder.decodeBuffer(authorization);
	 authorization = new String(bytes);
	 String userName = authorization.substring(0,authorization.indexOf(':'));
	 String password = authorization.substring(authorization.indexOf(':') 1);
	 System.out.println("userName:" userName);
	 System.out.println("password:" password);
	 authenticated = userName.equals("abc") && password.equals("abc");
	 
 } else if (authorization.startsWith("Digest")){
	 String userName= authorization.substring(authorization.indexOf("username="));
	 userName = userName.substring("username=\"".length());
	 userName = userName.substring(0,userName.indexOf('"'));
	 String password = authorization.substring(authorization.indexOf("response="));
	 password = password.substring("response=\"".length());
	 password = password.substring(0,password.indexOf('"'));
	 authenticated =userName.equals("abc") && password.equals("3cf1135d3b8e20dd9272d06288569a56");
 }
}

if (!authenticated){
	 // response.addHeader("WWW-Authenticate","Digest realm=\"Tomcat Manager Application\"");
	 response.addHeader("WWW-Authenticate","Basic realm=\"Tomcat Manager Application\"");
	 response.sendError(401,"Unauthorized");
}else{
	out.println("hello abc");
}
%>
cool,和tomcat一模一样的登陆页面做出来了。

用户名密码均为abc,hard code在代码里面了。

另外一个资料:http://www.jspwiki.org/wiki/NTLMAuthentication

转载于:https://my.oschina.net/jsan/blog/104539

weixin_33681778
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web-拾贝
oscar999的专栏
03-10 1万+
JavaScript MVC框架PK:Angular、Backbone、CanJS与Emberhttp://www.csdn.net/article/2013-04-25/2815032-A-Comparison-of-Angular-Backbone-CanJS-and-Ember一个好的js method 方法查询的网站, 有browser兼容的介绍http://help.dottoro.co...
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
关于用jsp实现http认证安全登陆的学习笔记。(正在原创ing)
SilverLong专栏
10-09 4238
作者 : lnboy 标题 : 关于用jsp实现http认证安全登陆的学习笔记。(正在原创ing) 关键字: jsp http认证 WWW-authenticate Basic Digest Base64
JSP Authentication with the Method Server
Felix's Blog
02-07 494
During development for a customer, they wanted to access a JSP page that would execute some server-side code. The problem was that the page was being accessed by a program developed by the customer...
登录rabbitMQ管理界面时浏览器显示要求进行身份验证,与此站点连接不安全解决办法
最新发布
m0_61399406的博客
08-28 5953
导致这个问题的原因是我在docker上面部署rabbitMQ的时候没有设置管理员账号。导致rabbitMQ中只有自己的默认账号。没有我登录的那个 itcast 账号,所以会有这个问题。等等乱七八糟的设置,结果发现问题还是存在。于是在其他的搜索下知道了错误的原因所在。3.使用创建的用户进行登录后就不会显示以上问题,成功进入rabbitMQ管理界面。当时以为自己需要输入自己的浏览器登录的账号进行验证,但是密码和账号输入后却显示。1.先进入自己部署的 rabbitMQ 容器中,查看所有的用户信息。
利用JSP在Web页面中实现Auth认证
鲤鱼商城
09-30 2509
代码如下: New Document if(request.getHeader("Authorization") == null){ response.setStatus(401); response.setHeader("WWW-authenticate","Basic realm=/"www.maxcard.com/""); }else{ //取得输入的信息String encod
js 弹出浏览器输入框
上善若水
07-26 393
[code="javascript"] [/code]
java web 登陆验证 弹窗_JSP强制浏览器弹出身份验证窗口
weixin_28747829的博客
02-24 1071
我们访问tomcat服务器的时候如果试图访问Tomcat Manager就会发现浏览器弹出一个登陆对话框,和我们平常的网页对话框不同,用jmeter创建一个http request的sampler,再建一个view result tree的lisenter来看看服务器返回了些什么污七八糟的:HTTP response headers:HTTP/1.1 401 UnauthorizedPragma:...
基于JSP动漫论坛的设计与实现(含源文件)
【完整】
03-07 2107
欢迎添加微信互相交流学习哦! 项目源码:https://gitee.com/oklongmm/biye 基于JSP动漫论坛的设计与实现 摘 要 作为文化产业的一部分,动漫影响了我国一代又一代青少年,据钱江晚报调查显示,有超过七成的95后愿意从事与动漫相关的行业,可见其对青少年影响力之大。 动漫论坛作为最先开始热爱动漫人士进行交流的方式之一,是爱好者们共享信息,寻找同伴的重要渠道之一。在这次毕业设计中,使用MVC模式,采用MySQL5.0数据库和JSP技术,开发了界面友好、操作简单易懂的动漫论坛.
Cookie/Session机制详解
热门推荐
瞧字不识
11-09 45万+
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制 在程序中,会话
JSP获取客户端的浏览器和操作系统信息
03-23
一些JSP中的用到的代码,主要用于获取客户端的浏览器信息和操作系统的一些简要信息。
八、设置HTTP应答头
Leecy
08-05 1258
8.1 HTTP应答头概述    Web服务器的HTTP应答一般由以下几项构成:一个状态行,一个或多个应答头,一个空行,内容文档。设置HTTP应答头往往和设置状态行中的状态代码结合起来。例如,有好几个表示“文档位置已经改变”的状态代码都伴随着一个Location头,而401(Unauthorized)状态代码则必须伴随一个WWW-Authenticate头。    然而,即使在没有设置特殊含义的状
打开网站弹出需要进行身份验证_IIS网站弹出域名登陆框的解决办法
橙-极纪元-cplvfx-JJY.Cheng
06-24 3万+
我的解决办法: 第一阶段:新建用户 1.我的电脑右键【管理】 2.【计算机管理】 3.【本地用户和组】 4.【用户】 5.右击【新用户】 6.输入网站的【域名】就行 7.勾选【用户不能更改密码】和【密码永不过期】 8.【确定】 第二阶段IIS 站点授权 1.右键站点【权限】 2.【添加】 3.输入刚才新建的用户名【检查名称】 4.系统会检查出你刚才输的用
弹出窗口
weixin_34357928的博客
09-15 902
【1、普通的弹出窗口】其实代码非常简单:<SCRIPTLANGUAGE=javascript><!--window.open('page.html')--></SCRIPT>  因为这是一段javascripts代码,所以它们应该放在<SCRIPTLANGUAGE=javascript>标签和</script>之间。&...
Basic认证
weixin_33862993的博客
12-22 257
Basic 概述 Basic 认证是HTTP 中非常简单的认证方式,因为简单,所以不是很安全,不过仍然非常常用。 当一个客户端向一个需要认证的HTTP服务器进行数据请求时,如果之前没有认证过,HTTP服务器会返回401状态码,要求客户端输入用户名和密码。用户输入用户名和密码后,用户名和密码会经过BASE64加密附加到请求信息中再次请求HTTP服务器,HTTP服务器会根据请求头携带的认证信息,决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值