JAVA实现negotiate认证_java – HttpClient设置Kerberos身份验证的凭据

最新推荐文章于 2022-09-15 16:11:49 发布
最新推荐文章于 2022-09-15 16:11:49 发布
阅读量1k 收藏
点赞数
文章标签: JAVA实现negotiate认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35750747/article/details/114785931
版权

由于SPNEGO,您发布的代码段(凭据类设置)不会被httpclient用于身份验证.

您可以使用DoAs作为CallBackhandler来传递用户&运行时密码.

然后你需要一个login.conf或其中的任何名称:

KrbLogin{

com.sun.security.auth.module.Krb5LoginModule required doNotPrompt=false debug=true useTicketCache=false;

};

您可以将名称从“KrbLogin”更改为您喜欢的名称(请记住在Java代码中使用相同的名称)

并使用java系统属性设置:

System.setProperty("java.security.auth.login.config", "login.conf");

或者用

-Djava.security.auth.login.config=login.config

然后你需要一个krb5配置文件(通常是krb5.ini或krb5.conf,里面有正确的配置)

如果您的工作站(或服务器)已正确配置为Kerberos,则此类应该按原样运行(使用propper文件login.conf和krb5.ini)我使用httpclient 4.3.3和java 1.7来测试它:

import org.apache.http.HttpEntity;

import org.apache.http.HttpResponse;

import org.apache.http.auth.AuthSchemeProvider;

import org.apache.http.auth.AuthScope;

import org.apache.http.auth.Credentials;

import org.apache.http.client.CredentialsProvider;

import org.apache.http.client.HttpClient;

import org.apache.http.client.config.AuthSchemes;

import org.apache.http.client.methods.HttpGet;

import org.apache.http.client.methods.HttpUriRequest;

import org.apache.http.config.Registry;

import org.apache.http.config.RegistryBuilder;

import org.apache.http.impl.auth.SPNegoSchemeFactory;

import org.apache.http.impl.client.BasicCredentialsProvider;

import org.apache.http.impl.client.CloseableHttpClient;

import org.apache.http.impl.client.HttpClients;

import org.apache.http.util.EntityUtils;

import javax.security.auth.Subject;

import javax.security.auth.callback.*;

import javax.security.auth.login.LoginContext;

import javax.security.auth.login.LoginException;

import java.io.IOException;

import java.security.AccessController;

import java.security.Principal;

import java.security.PrivilegedAction;

import java.util.Set;

public class HttpClientKerberosDoAS {

public static void main(String[] args) throws Exception {

System.setProperty("java.security.auth.login.config", "login.conf");

System.setProperty("java.security.krb5.conf", "krb5.conf");

System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");

String user = "";

String password = "";

String url = "";

if (args.length == 3) {

user = args[0];

password = args[1];

url = args[2];

HttpClientKerberosDoAS kcd = new HttpClientKerberosDoAS();

System.out.println("Loggin in with user [" + user + "] password [" + password + "] ");

kcd.test(user, password, url);

} else {

System.out.println("run with User Password URL");

}

}

public void test(String user, String password, final String url) {

try {

LoginContext loginCOntext = new LoginContext("KrbLogin", new KerberosCallBackHandler(user, password));

loginCOntext.login();

PrivilegedAction sendAction = new PrivilegedAction() {

@Override

public Object run() {

try {

Subject current = Subject.getSubject(AccessController.getContext());

System.out.println("----------------------------------------");

Set principals = current.getPrincipals();

for (Principal next : principals) {

System.out.println("DOAS Principal: " + next.getName());

}

System.out.println("----------------------------------------");

call(url);

} catch (IOException e) {

e.printStackTrace();

}

return true;

}

};

Subject.doAs(loginCOntext.getSubject(), sendAction);

} catch (LoginException le) {

le.printStackTrace();

}

}

private void call(String url) throws IOException {

HttpClient httpclient = getHttpClient();

try {

HttpUriRequest request = new HttpGet(url);

HttpResponse response = httpclient.execute(request);

HttpEntity entity = response.getEntity();

System.out.println("----------------------------------------");

System.out.println("STATUS >> " + response.getStatusLine());

if (entity != null) {

System.out.println("RESULT >> " + EntityUtils.toString(entity));

}

System.out.println("----------------------------------------");

EntityUtils.consume(entity);

} finally {

httpclient.getConnectionManager().shutdown();

}

}

private HttpClient getHttpClient() {

Credentials use_jaas_creds = new Credentials() {

public String getPassword() {

return null;

}

public Principal getUserPrincipal() {

return null;

}

};

CredentialsProvider credsProvider = new BasicCredentialsProvider();

credsProvider.setCredentials(new AuthScope(null, -1, null), use_jaas_creds);

Registry authSchemeRegistry = RegistryBuilder.create().register(AuthSchemes.SPNEGO, new SPNegoSchemeFactory(true)).build();

CloseableHttpClient httpclient = HttpClients.custom().setDefaultAuthSchemeRegistry(authSchemeRegistry).setDefaultCredentialsProvider(credsProvider).build();

return httpclient;

}

class KerberosCallBackHandler implements CallbackHandler {

private final String user;

private final String password;

public KerberosCallBackHandler(String user, String password) {

this.user = user;

this.password = password;

}

public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {

for (Callback callback : callbacks) {

if (callback instanceof NameCallback) {

NameCallback nc = (NameCallback) callback;

nc.setName(user);

} else if (callback instanceof PasswordCallback) {

PasswordCallback pc = (PasswordCallback) callback;

pc.setPassword(password.toCharArray());

} else {

throw new UnsupportedCallbackException(callback, "Unknown Callback");

}

}

}

}

}

注意:

您可以使用:

System.setProperty("sun.security.krb5.debug", "true");

要么:

-Dsun.security.krb5.debug=true

调查问题.

半清斋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA实现negotiate认证_Java SSO windows AD spring4 Negotiate Header无效:
weixin_33437894的博客
02-27 662
嗨,我正在尝试使用JAVA和spring设置SSO.为此,我使用此文档:http://docs.spring.io/spring-security-kerberos/docs/1.0.0.RELEASE/reference/htmlsingle/和第3段的代码.Scnego谈判.但它不起作用我得到错误:org.springframework.security.kerberos.web.authen...
java票证管理办法_java 无法使用kerberos票证缓存对apache http client 4.5进行身份验证...
weixin_29898529的博客
02-25 486
我正在对kerberos认证的REST服务执行https请求.如果我使用keytab,一切都很好.但是,我要求我应该使用kerberos票证缓存文件,该文件是在使用其密码登录工作站时创建的.我将用MY_DOMAINE.COM替换域名所以,klist显示:Ticket cache: FILE:/tmp/krb5cc_210007Default principal: dragomira@MY_DOMA...
[Kerberos基础]-- httpclient访问httpfs服务(有Kerberos认证)
欢迎来到我的博客,一起探索代码里的世界!
07-09 5689
场景:cdh集群已经添加kerberos认证,但是需要访问httpfs服务,怎么办? 如下实现: 1、引入maven <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/...
passport-negotiate:协商护照(kerberos身份验证策略
05-30
护照谈判 为 Passport 协商 (Kerberos) 单点登录身份验证策略。 如所述,此策略实现了对实现“HTTP Negotiate”或 SPNEGO auth-scheme 的用户的身份验证。 为此,客户端(浏览器)必须有权访问“凭据缓存”,这在通过直接使用“kinit”工具或使用 PAM 模块登录 Windows 或 Linux/Unix 中的域时发生在登录时执行此操作,例如将 sssd 与 kerberos DC 或 Active Directory 域控制器(如 Samba 4)一起使用。 当服务器请求“协商”时,通过“WWW-Authenticate: Negotiate”标头和 401 响应,浏览器将以“票”的形式获取凭据。 然后浏览器将使用“授权:协商.....”中提供的票证数据重新请求资源。 这对用户是透明的。 Node.js 也可以用作启用协商的客户端,请
HttpClient请求开启Kerberos的服务
Tu_maimes
03-29 1119
示例 方案一 import org.apache.http.HttpResponse; import org.apache.http.auth.AuthSchemeProvider; import org.apache.http.auth.AuthScope; import org.apache.http.auth.Credentials; import org.apache.http.client.HttpClient; import org.apache.http.client.config.AuthS
java代码实现 kerberos认证hive连接
weixin_46476200的博客
05-06 2238
Hive安全认证代码实现java代码实现 hive数据库和mysql不太一样,它需要两个认证文件才可以登录。 hive.keytab以及krb5.conf 1.从页面传递两份文件,在这里用的是base64进行传递(考虑到两份文件不大,所以采用这种方式,base64对文件进行编码时,会出现前缀,在解码时需要注意切割) 2.前端传递过来两份文件,解码并读取到自己自定义的地址 3.之后就可以采用java代码获取连接 Connection con = null; // 创建一个数据库连接 System.setPro
HttpClient官方文档》4.8 SPNEGO/Kerberos验证
weixin_34319374的博客
05-19 344
SPNEGO(简单并且受保护的GSSAPI协商机制)被设计为当两端都不知道他人可以提供,或使用什么时所提供的验证服务。它可以包装其他的机制,但是目前HttpClient4.2是按照Kerbros单独设计的。 4.8.1SPNEGO在HttpClient中的支持 SPNEGO验证方案被Sun Java 1.5以上版本兼容。1.6以上的Java版本被强烈推...
vault-plugin-auth-kerberos:用于Hashicorp Vault的Beta插件,可启用Kerberos身份验证
03-11
保险柜插件:Kerberos身份验证后端 细节 这是用于的独立后端插件。 该插件允许用户通过Kerberos / SPNEGO向Vault进行身份验证。 用法 验证 您可以通过将有效的SPNEGO Negotiate标头发布到/v1/auth/kerberos/login 。...
requests-negotiate-sspi:基于Windows SSPI的请求的协商身份验证支持
05-16
请求的HTTP协商身份验证实现。 此模块使用Windows SSPI接口使用Kerberos或NTLM提供单点登录。 该模块支持身份验证扩展保护(又名通道绑定哈希),这使其可用于需要它的服务,包括Active Directory联合身份验证...
java ntlm_NTLM验证过程
weixin_32873435的博客
02-21 951
参考文献:正文NTLM有Interactive和Noninteractive两种,Interactive就是用户登录类型的,只有client和DC两个参与者,而Noninteractive则是Client要去连接一个Server。在Microsoft NTLM给出了NTLM的Noninteractive验证过程,有如下7步过程:1、 (Interactive authentication onl...
Kerberos在HTTP中的应用
03-31
Kerberos是在Internet上长期被采用的一种安全鉴别机制。本文在分析各种传统HTTP鉴别协议的缺陷的基础上,探讨了Kerberos在HTTP通信中鉴别的优势,并提出了一种具体实现的设计模型
spnego java_《HttpClient官方文档》4.8 SPNEGO/Kerberos验证
weixin_31068553的博客
02-19 487
原文链接译者:EdenpanSPNEGO(简单并且受保护的GSSAPI协商机制)被设计为当两端都不知道他人可以提供,或使用什么时所提供的验证服务。它可以包装其他的机制,但是目前HttpClient4.2是按照Kerbros单独设计的。4.8.1SPNEGO在HttpClient中的支持SPNEGO验证方案被Sun Java 1.5以上版本兼容。1.6以上的Java版本被强烈推荐,因为它已经完全支...
IE接受Negotiate头,分别使用NTLM 或 Kerberos两种验证的情况说明
wuzhiqi3352821的博客
06-21 2894
1、 NTLM验证过程 1.1. 客户端选择NTLM方式 如果IE选择了NTLM验证,IE就会在发送到IIS的请求中加入一个Authorization: Negotiate头,内容为: Authorization: Negotiate NTLMSSPXXXXXXXXXXXXXXXXX 蓝色部分在实际中是经过base64编码的,其中“NTLMSSP”表示是NTLM验证的请求,后...
RestHighLevelClient 操作ElasticSearch
dkjhl的博客
09-15 2228
java restclientlevel操作es,单条写入文档,批量写入文档,upsert操作,批量删除操作,多种查询
java票证管理办法_java 从Authorization标头中的Kerberos票证中读取用户名
weixin_39610678的博客
02-25 327
我想从Authorization HTTP标头中的Kerberos票证中读取用户名.我正在使用Java.我花了几天时间试图通过阅读关于这个主题的一堆网站来实现这一目标,但却无法做到这一点. Kerberos对我来说是新的/陌生的.这就是我所取得的成就:>当用户首次访问该站点时 没有Authorization标头,服务器将响应401标头:WWW-Authenticate = Negotia...
java authorization_OkHttp3 之 Authorization处理认证(四)
weixin_34397537的博客
02-21 1859
处理验证这部分和HTTP AUTH有关.HTTP AUTH使用HTTP AUTH需要在server端配置http auth信息, 其过程如下:客户端发送http请求服务器发现配置了http auth, 于是检查request里面有没有”Authorization”的http header如果有, 则判断Authorization里面的内容是否在用户列表里面, Authorization heade...
关于JAVA程序的kerbose认证的一些事儿
KeithChen's的博客
12-01 1660
概况 我们这边用的是key + password 的 kerbose 认证. 在JAVA程序下也遇到一些关于 kerbose 认证绕不过的坑. 认证的代码 //认证返回一个UserGroupInformation,认证成功的User public static UserGroupInformation login(){ Configuration conf = new Co
Java语言获取网络共享盘的文件
最新发布
03-26
根据服务器返回的协议版本,发送SMB2的SessionSetup请求,进行身份验证和用户登录。 c. 发送SMB2的TreeConnect请求,连接到指定的共享文件夹路径。 d. 发送SMB2的Create请求或QueryDirectory请求,获取指定路径下的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值