摘要认证 java_摘要认证及实现HTTP digest authentication

最新推荐文章于 2024-06-21 01:37:04 发布
最新推荐文章于 2024-06-21 01:37:04 发布
阅读量1.5k 收藏 1
点赞数
文章标签: 摘要认证 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36029647/article/details/114432576
版权
本文介绍了如何在Java中实现HTTP摘要认证,包括服务器生成随机数nonce、客户端响应并计算摘要、服务器验证的过程。通过摘要认证,密码以摘要形式传输,防止明文密码泄露,并使用随机数nonce来防御重放攻击。详细讨论了MD5计算摘要的方法以及服务器验证客户端摘要的逻辑。
摘要由CSDN通过智能技术生成

最近工作需要做了摘要认证(digest authentication),下面就工作中遇到的问题及过程做一个总结。

第一次客户端请求

GET/POST

服务器产生一个随机数nonce,服务器将这个随机数放在WWW-Authenticate响应头,与服务器支持的认证算法列表,认证的域realm一起发送给客户端,如下例子:

HTTP /1.1 401 Unauthorized

WWW-Authenticate:Digest

realm= ”test realm”

qop=auth,auth-int”

nonce=”66C4EF58DA7CB956BD04233FBB64E0A4”

opaque="5ccc069c403ebaf9f0171e9517f40e41"

• realm的值是一个简单的字符串

• qop是认证的(校验)方式

• nonce是随机数, 可以用GUID

• opaque是个随机字符串,它只是透传而已,即客户端还会原样返回过来。

• algorithm 是个字符串,用来指示用来产生分类及校验和的算法对。如果该域没指定,则认为是“MD5“算法。

客户端发现是401响应,表示需要进行认证,则弹出让用户输入用户名和密码的认证窗口,客户端选择一个算法,计算出密码和其他数据的摘要(response),将摘要放到Authorization的请求头中发送给服务器,如果客户端要对服务器也进行认证,这个时候,可以发送客户端随机数cnonce。如下例子:

GET/cgi-bin/checkout?a=b H

最低0.47元/天 解锁文章
三尺黔首
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java猿社区—Http digest authentication 请求代码最全示例
阿祥小王子的博客
05-15 5019
文章目录什么是摘要认证服务器核实用户身份客户端反馈用户身份server 确认用户代码示例 欢迎关注作者博客 简书传送门 什么是摘要认证 摘要认证Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2617中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。 摘要认证就是要核实,参...
java 摘要认证实现_摘要认证
weixin_36211712的博客
02-13 1918
摘要认证(digest authentication)摘要认证(Digest authentication)用来提供比基础认证更高级别的安全。在RFC2617中有关于它的描述,摘要认证是一种基于挑战-应答模式的认证模型。摘要认证与基础认证的工作原理很相似,用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-Authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证...
HTTP 基本认证&摘要认证java方式具体实现get请求)
weixin_44667935的博客
01-17 1200
HTTP 基本认证&摘要认证java方式具体实现get请求) public @ResponseBody Map<String,Object> insureResponseBlockGet(String url,String username,String password,HttpUriRequest request){ **url 实际请求地...
Java【算法 04】HTTP认证方式之DIGEST认证详细流程说明及举例
最新发布
2401_84264536的博客
06-21 633
然后将客户端发送的响应字符串和服务器端生成的响应字符串进行比较。客户端接收到401响应,表示需要进行认证,客户端提示用户输入他们的用户名和密码,然后响应一个新的请求,该请求在 Authorization。服务器返回响应: 如果服务器验证成功,它会返回请求的资源内容给客户端,同时在响应的头部中包含认证成功的标识。客户端发送响应: 客户端将生成的响应字符串发送给服务器,放在请求的"Authorization"头部中。如果服务器验证成功,它会返回请求的资源内容给客户端,同时在响应的头部中包含认证成功的标识。
处理https中的Digest authentication鉴权
qq_17328759的博客
02-08 8172
解决问题:   RESTful 的传输协议类型为 HTTPS,鉴权方式为 Digest_SHA256(即DIGEST摘要认证) 时,接口调用问题。 搞清楚几个定义: HTTPS:HTTP over SSL,实际上是在原有的 HTTP 数据外面加了一层 SSL 的封装。 Digest_SHA256:摘要认证Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要。 普通的RESTful接口调用: import requests from r
java http 摘要认证_为一个REST服务使用Spring Security的基本和摘要认证
weixin_31919471的博客
03-04 162
1. 简介这篇文章讨论的是如何在一个相同URI结构的REST API上使用基础和摘要式的认证。在一篇从前的文章里,我们讨论了另一种保护REST服务的方法----表单为基础的认证,但是基础的和摘要式的认证是另一个更自然的方式,也是更RESTful的一种。2. 基础认证的配置表单为基础的认证不是RESTful服务的一个合适认证方式的主要原因是Spring Security将会使用Sessions --...
java api方法摘要_【Java】API参数如何进行摘要签名验证的?
weixin_29421409的博客
02-28 347
假设A开发了一系列API,要求调用这些API的调用者对调用参数进行签名,然后A在后台对每个请求的签名进行验证。假设B要调用这些API,首先需要将参数序列化为json,然后对json string进行md5算法运算,得到签名sigA收到B调用api的request,取出参数,记性呢md5运算,然后和sig对比。但是A取出的参数json string需要和B当时得到的一致。可是由于json序列化可能导...
spring-security-digest:spring-security 与摘要认证示例
06-21
在这个特定的示例 "spring-security-digest" 中,我们关注的是摘要认证Digest Authentication),这是一种比基本认证更安全的身份验证机制,因为它不直接在请求中传递明文密码。 摘要认证的基本原理是,服务器向...
Http Digest 鉴权
06-21
摘要”式认证Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的...
okhttp-digest:okhttp摘要身份验证器
05-04
okhttp-digest okhttp摘要身份验证器。 大多数代码是从Apache Http Client移植的。重要的该工件已从jcenter转移到了Maven Central! 坐标已从com.burgstaller:okhttp-digest:<version>到io.github.rburgst:okhttp-...
Java 使用HttpURLConnection 访问 Digest Auth 摘要验证的 接口
Riteny的博客
08-24 741
网上查阅相关资料后,使用现有框架,可以做到使用Digest Auth授权访问,但是做不到不断读取长连接推送的数据。而使用HttpURLConnection 可以做到不断读取长连接推送的数据,但没有现成的资料可以直接做到Digest Auth ,所以只能自己计算相关的校验数据和编写校验方法。最近遇到一个需求,需要打开一个受Digest Auth 保护的Api接口,然后保持长连接,不断接收流里面的数据。特此发下下相关的代码作为记录,也希望可以帮到其他有需要的人。需要导入一个包,用于MD5摘要
http摘要认证 java_java – 使用HttpURLConnection在Android中进行摘要式身份验证
weixin_39825045的博客
02-15 412
正如问题所说,我正在尝试在android中进行摘要身份验证.到目前为止,我已经使用了DefaultHttpClient及其身份验证方法(使用UsernamePasswordCredentials等),但自Android 5以来已弃用,并将在Android 6中删除.所以我即将从DefaultHttpClient切换到HttpUrlConnection.现在我正在尝试实现摘要式身份验证,这应该非常简...
HTTP digest认证
远方的少年
03-09 808
HTTP的basic认证是通过明文来传输用户名和密码,安全性不够,因此HTTP又推出了摘要认证的方式来验证用户名和密码。 流程和Basic认证差不多 1.浏览器访问服务端受保护的资源,服务端返回401,同时返回WWW-authtication头。 WWW-Authenticate: Digest realm="no auth",nonce="0CWD2X4u5vKCeJES442c+A==",qop="auth" ...
HTTP认证模式:Basic & Digest
Enweitech Software Works
04-23 2583
引言 经常在工作中使用到了各种认证方式,但从未考虑过这些认证方式所属的知识范畴,同时也解释不清楚它们。 曾用到的认证方式(看看是否您也用过,但很难解释清楚他们): Basic认证(访问API时,浏览器会自动弹出一个对话框去输入用户名/密码) 用户名密码认证(进入站点主页前,需要在登陆页面输入用户名和密码,这种更专业的叫法为表单认证) openID Connect认证(用于第三方登陆认证,...
java认证教程_HTTP基本认证(Basic Authentication)的JAVA实例代码
weixin_29008691的博客
02-12 741
大家在登录网站的时候,大部分时候是通过一个表单提交登录信息。但是有时候浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。下面来看看一看这个认证的工作过程:第一步:客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话,服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header "WWW-Authen...
authentication java_HTTP基本认证(Basic Authentication)的JAVA实例代码
weixin_39756273的博客
02-12 325
大家在登录网站的时候,大部分时候是通过一个表单提交登录信息。但是有时候浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。下面来看看一看这个认证的工作过程:第一步:客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话,服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header "WWW-Authen...
http auth www-authenticate 是否允许同时携带basic digest 两种认证方式
yhtppp的专栏
12-20 330
即client发起http请求,http server配置了http auth认证机制,由server选择返回具体的认证方式; server是否可以返回两种认证方式,basic和digest,由client来选择? 可以,但不建议使用,会降低系统安全性,比如:中间人攻击 参考: RFC 2617 HTTP Authentication:Basic and Digest Access Authentication ...
java怎么digest认证调用海康威视/ISAPI/Streaming/channels/1/picture的接口
05-13
Java中进行摘要认证Digest Authentication),可以使用JavaHttpURLConnection类来发送HTTP请求。以下是一个使用HttpURLConnection发送带有Digest认证的GET请求的示例代码: ```java import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.URL; public class DigestAuthExample { public static void main(String[] args) throws Exception { String url = "http://IP地址/ISAPI/Streaming/channels/1/picture"; String username = "admin"; String password = "12345"; HttpURLConnection connection = (HttpURLConnection) new URL(url).openConnection(); connection.setRequestMethod("GET"); // 添加Digest认证头部 String authHeader = getDigestAuthHeader(connection, username, password); connection.setRequestProperty("Authorization", authHeader); // 发送请求 int responseCode = connection.getResponseCode(); System.out.println("Response Code: " + responseCode); // 读取响应内容 BufferedReader in = new BufferedReader(new InputStreamReader(connection.getInputStream())); String inputLine; StringBuilder response = new StringBuilder(); while ((inputLine = in.readLine()) != null) { response.append(inputLine); } in.close(); System.out.println("Response Content: " + response.toString()); } private static String getDigestAuthHeader(HttpURLConnection connection, String username, String password) throws IOException { String realm = null; String nonce = null; String qop = null; String cnonce = null; String nc = null; // 发送第一次请求,获取服务器返回的Digest认证参数 int responseCode = connection.getResponseCode(); if (responseCode == HttpURLConnection.HTTP_UNAUTHORIZED) { String authHeader = connection.getHeaderField("WWW-Authenticate"); String[] authParams = authHeader.split(",\\s*"); // 解析Digest认证参数 for (String authParam : authParams) { String[] keyValue = authParam.split("=", 2); String key = keyValue[0].trim(); String value = keyValue[1].trim().replaceAll("\"", ""); if (key.equalsIgnoreCase("realm")) { realm = value; } else if (key.equalsIgnoreCase("nonce")) { nonce = value; } else if (key.equalsIgnoreCase("qop")) { qop = value; } } // 计算响应摘要 String ha1 = DigestUtils.md5Hex(username + ":" + realm + ":" + password); String ha2 = DigestUtils.md5Hex("GET" + ":" + "/ISAPI/Streaming/channels/1/picture"); nc = "00000001"; cnonce = DigestUtils.md5Hex(String.valueOf(System.nanoTime())); String response = DigestUtils.md5Hex(ha1 + ":" + nonce + ":" + nc + ":" + cnonce + ":" + qop + ":" + ha2); // 构造Digest认证头部 StringBuilder authBuilder = new StringBuilder("Digest "); authBuilder.append("username=\"" + username + "\", "); authBuilder.append("realm=\"" + realm + "\", "); authBuilder.append("nonce=\"" + nonce + "\", "); authBuilder.append("uri=\"" + "/ISAPI/Streaming/channels/1/picture" + "\", "); authBuilder.append("qop=" + qop + ", "); authBuilder.append("nc=" + nc + ", "); authBuilder.append("cnonce=\"" + cnonce + "\", "); authBuilder.append("response=\"" + response + "\""); return authBuilder.toString(); } return null; } } ``` 注意,以上代码中使用了Apache Commons Codec库的`DigestUtils.md5Hex()`方法进行MD5摘要计算,需要先导入该库。建议使用最新版本的库。 另外,由于海康威视的视频监控设备的接口通常需要使用HTTP Basic或Digest认证才能访问,因此在进行接口调用时需要先获取到正确的认证参数,并在HTTP头部添加相应的认证信息。具体的认证方式和参数可以参考海康威视设备的开发文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值