Servlet实现HTTP基本认证机制

最新推荐文章于 2023-08-23 16:44:56 发布
最新推荐文章于 2023-08-23 16:44:56 发布
阅读量264 收藏
点赞数
文章标签: java python xhtml
原文链接:https://my.oschina.net/xinxingegeya/blog/330275
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Servlet实现HTTP基本认证机制


HTTP基本认证机制

HTTP基本认证机制:http://my.oschina.net/xinxingegeya/blog/209418

    在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,然后将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中, 如当用户名为anjuta,密码为:123456时,客户端将用户名和密码用“:”合并,并将合并后的字符串用BASE64加密为密文,并于每次请求数据 时,将密文附加于请求头(Request Header)中。HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64加密的用户名和密码),解开请求包,对用户名及密码进行验证,如果用 户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。


HTTP认证机制的过程

客户端进行请求

HTTP GET请求报文

GET /helloworld/AuthorizationServlet HTTP/1.1
Host: localhost:12345
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=F295C2D896E79F6C056652BF7ED51FA1
Connection: keep-alive

响应报文

HTTP/1.1 401 Unauthorized
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=3AC4181CE5FD2C2770453D70D73CB7F2; Path=/helloworld/; HttpOnly
WWW-authenticate: Basic realm="personal"
Content-Type: text/html;charset=utf-8
Content-Length: 30
Date: Mon, 13 Oct 2014 11:33:36 GMT

对不起你没有权限!!


服务器端质询

服务器端进行验证。如果验证通过,则返回客户端请求的数据和服务。如果没有验证通过,则要求客户端进行验证。

质询就是上边说的响应报文,报文中有一个首部表明要进行质询

WWW-authenticate: Basic realm="personal"

HTTP/1.1 401 Unauthorized
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=3AC4181CE5FD2C2770453D70D73CB7F2; Path=/helloworld/; HttpOnly
WWW-authenticate: Basic realm="personal"
Content-Type: text/html;charset=utf-8
Content-Length: 30
Date: Mon, 13 Oct 2014 11:33:36 GMT

对不起你没有权限!!


服务器端认证

当返回这个报文的时候,浏览器端回弹出一个输入用户名和密码的窗口,输入要验证的信息:

客户端提交验证信息,服务器端进行验证

194141_Dofk_1469576.png

输入信息之后发出的请求报文是:

GET /helloworld/AuthorizationServlet HTTP/1.1
Host: localhost:12345
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=3AC4181CE5FD2C2770453D70D73CB7F2
Connection: keep-alive
Authorization: Basic MTExOjExMQ==

该报文中含有验证信息

Authorization: Basic MTExOjExMQ==

是用base64进行加密的。。

返回要请求的数据,该响应报文如下:

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Type: text/html;charset=utf-8
Content-Length: 96
Date: Mon, 13 Oct 2014 11:42:29 GMT

<html>
<body>
<h2>Hello World!</h2>
<h2>Hello World!</h2>
<h2>Hello World!</h2>
</body>
</html>


通过basic验证之后,那么每次请求都会在请求首部中加入base64加密的验证信息:

如下所示的请求/helloworld/PerformanceServlet

GET /helloworld/PerformanceServlet HTTP/1.1
Host: localhost:12345
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=3AC4181CE5FD2C2770453D70D73CB7F2
Authorization: Basic MTExOjExMQ==
Connection: keep-alive


用Servlet实现HTTP基本认证机制

主要是Servlet的实现,如下:

package com.lyx.servlet;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Base64;

import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet implementation class AuthorizationServlet
 */
public class AuthorizationServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;

	/**
	 * @see HttpServlet#HttpServlet()
	 */
	public AuthorizationServlet() {
		super();
		// TODO Auto-generated constructor stub
	}

	/**
	 * 使用基本验证机制的用户登陆逻辑
	 * 
	 * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse
	 *      response)
	 */
	protected void doGet(HttpServletRequest request,
			HttpServletResponse response) throws ServletException, IOException {
		String user = (String) request.getSession().getAttribute("user");
		String password = null;
		if (user == null) {
			try {
				response.setCharacterEncoding("utf-8");
				response.setHeader("Content-Type", "text/html; charset=utf-8");
				PrintWriter out = response.getWriter();
				String authorization = request.getHeader("authorization");
				System.out.println("authorization->" + authorization);
				if (authorization == null || authorization.equals("")) {
					response.setStatus(401);
					response.setHeader("WWW-authenticate",
							"Basic realm=\"personal\"");
					out.print("对不起你没有权限!!");
					return;
				}

				String userAndPass = new String(Base64.getDecoder().decode(
						authorization.split(" ")[1]));
				if (userAndPass.split(":").length < 2) {
					response.setStatus(401);
					response.setHeader("WWW-authenticate",
							"Basic realm=\"personal\"");
					out.print("对不起你没有权限!!");
					return;
				}
				user = userAndPass.split(":")[0];
				password = userAndPass.split(":")[1];
				if (user.equals("111") && password.equals("111")) {
					request.getSession().setAttribute("user", user);
					RequestDispatcher dispatcher = request
							.getRequestDispatcher("index.jsp");
					dispatcher.forward(request, response);
				} else {
					response.setStatus(401);
					response.setHeader("WWW-authenticate",
							"Basic realm=\"personal\"");
					out.print("对不起你没有权限!!");
					return;
				}
			} catch (Exception ex) {
				ex.printStackTrace();
			}
		} else {
			RequestDispatcher dispatcher = request
					.getRequestDispatcher("index.jsp");
			dispatcher.forward(request, response);
		}
	}

	/**
	 * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
	 *      response)
	 */
	protected void doPost(HttpServletRequest request,
			HttpServletResponse response) throws ServletException, IOException {
		doGet(request, response);
	}

}


====END====


转载于:https://my.oschina.net/xinxingegeya/blog/330275

weixin_34306676
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
servlet实现简单登录验证
05-12
servlet实现简单登录验证,最简单的实现,通过equals()方法然后重定向,主要是理解servlet的运行机制
Servlet规范中的验证用户机制
08-24 520
1、HTTP Basic Authentication 浏览器和服务器交互的详细过程如下: (1)、浏览器请求受保护的资源 (2)、服务器发现客户端请求的资源是受保护的,于是向客户端发送401(未授权的)响应消息。在响应消息中,包含了WWW-Authenticate响应报头
servlet 认证,授权
shizhan1881的专栏
07-27 1419
servlet安全分为四类:认证,授权,数据完整性,机密性。      有时候我们的某个网页,可能不允许所有人查看,如有些机密消息只有高级会员查看,这时候我们该如何处理?我们怎么判断访问网页的这个人就是本人,而不是其他人冒充的呢?     servlet中的认证和授权就能解决这个问题,认证就是验证是否是本人,验证是否是本人的方法就是能否输入正确的用户名和密码。授权就是用户账户和密码匹配后,查看
Servlet简单登陆验证实例
05-19
Servlet简单登陆验证实例 ,具体效果和过程看博文 http://blog.csdn.net/evankaka/article/details/45167773
solr配置安全验证
最新发布
sulei627719296的博客
08-23 756
由于启动后默认是不用登入即可访问 Solr 管理界面,这样暴露了Solr核心库,易引起他人删除索引库数据,故配置登入权限才可访问 Solr 管理界面,步骤如下。
jsp+servlet实现基本的注册登陆功能
06-18
本项目以“jsp+servlet实现基本的注册登陆功能”为主题,提供了实现用户注册和登录功能的源代码及配套数据库,旨在帮助开发者了解和学习这两项技术在实际应用中的基本用法。 首先,`jsp`是一种服务器端脚本语言,...
浅谈HTTP使用BASIC认证的原理及实现方法
09-01
HTTP基本认证BASIC Authentication)是一种简单的身份验证机制,常用于Web服务器对客户端进行身份验证。本文将深入探讨BASIC认证的原理以及如何在实际环境中实现这一机制。 一、BASIC认证概述 BASIC认证HTTP...
Servlet+MySQL实现登录功能.zip
09-03
在本项目"Servlet+MySQL实现登录功能.zip"中,开发者使用了Servlet技术与MySQL数据库来构建一个基础的用户登录系统。这是一个经典的Web开发场景,它涵盖了服务器端编程和数据库交互的关键概念。以下是对这个项目中...
汽车租赁系统的Tomcat servlet 实现
12-07
Tomcat支持多种安全配置,如基本认证、表单认证,还可以通过HTTPS协议加密通信。 6. 整合其他技术:为了提供更好的用户体验,系统可能还需要整合JavaScript库(如jQuery)和前端框架(如Bootstrap),以及后端框架...
基于jsp+servlet实现的旅游管理系统.zip
08-22
【基于jsp+servlet实现的旅游管理系统】是一个典型的Web应用程序,主要使用Java服务器页面(JSP)和Servlet技术来构建。这个系统可能包含了用户管理、旅游线路管理、订单处理、支付接口等多个模块,适用于旅游行业的...
servelet实现http接口小例子
06-13
servelet实现http接口小例子,访问url:http://localhost:port/test/TestServlet,然后用postmanGET请求测试
www-authenticate与BASE-64认证技术
weixin_30263073的博客
08-28 233
www-authenticate是一种简单的用户身份认证技术。很多验证都采用这种验证方式,尤其在嵌入式领域中。优点:方便缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的.服务器收到请求后,首先会解析发送来的数据中是否包含有:Authorization: Basic XXXX=这种格式的数据如果没有这样的header数据那么服...
HTTP基本认证(Basic Authentication)的JAVA示例
热门推荐
交换一个思想,能得到俩思想
06-04 7万+
HTTP基本认证工作原理以及用JAVA如何实现
[转]www-authenticate认证过程浅析
maoliran的博客
07-06 2万+
一、www-authenticate简介www-authenticate是早期的一种简单的,有效的用户身份认证技术。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到编解码的源码。采用这种认证方式对于普通用
WWW-authenticate 登录验证
ShirleyJade的专栏
11-30 1万+
public class BasicLoginFilter implements Filter { @Override public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain filterChain) throws IOException, ServletException { HttpServ
Http Basic Authenticate
漫游学海之旅
09-13 801
这是HTTP协议中的Basic Authentication 客户端向服务器发起普通HTTP请求 服务器返回HTTP 401错误,并在response里面带上一行头信息 WWW-Authenticate: Basic realm=”领域说明文本” 客户端弹出对话框,让用户输入用户名密码 客户端重新向服务器发起请求,request里面带上一行头信息,内容是 Authorizatio...
Servlet客户请求的处理:HTTP请求报头HttpServletRequest接口应用
自强
06-18 1万+
对请求报头的访问,使Servlet可以执行许多优化,创建高效的Servlet。一,在Servlet 中读取HTTP请求报头 —— HttpServletRequest接口    在Servlet中读取HTTP头,调用HttpServletRequest的getHeader方法。                   getHeader(String  报头名)方法:返回客户请求中提供的指
Java实现HTTP基本认证详细步骤
本文主要介绍了如何使用Java实现HTTP基本认证Basic Authentication)的过程,这是一个常见的网络身份验证机制,尤其在Web应用中。HTTP基本认证通常用于保护资源,防止未经授权的访问。 HTTP基本认证的工作流程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值