HTTP基本認證 Basic Authentication 的JAVA示例
阿新 • • 發佈:2018-12-22
大家在登入網站的時候,大部分時候是通過一個表單提交登入資訊。
但是有時候瀏覽器會彈出一個登入驗證的對話方塊,如下圖,這就是使用HTTP基本認證。
下面來看看一看這個認證的工作過程:
第一步: 客戶端傳送http request 給伺服器,伺服器驗證該使用者是否已經登入驗證過了,如果沒有的話,
伺服器會返回一個401 Unauthozied給客戶端,並且在Response 的 header "WWW-Authenticate" 中新增資訊。
如下圖。
第二步:瀏覽器在接受到401 Unauthozied後,會彈出登入驗證的對話方塊。使用者輸入使用者名稱和密碼後,
瀏覽器用BASE64編碼後,放在Authorization header中傳送給伺服器。如下圖:
第三步: 伺服器將Authorization header中的使用者名稱密碼取出,進行驗證, 如果驗證通過,將根據請求,傳送資源給客戶端。
下面來看一個JAVA的示例程式碼:
認證之後將認證資訊放在session,以後在session有效期內就不用再認證了。
但是有時候瀏覽器會彈出一個登入驗證的對話方塊,如下圖,這就是使用HTTP基本認證。
下面來看看一看這個認證的工作過程:
第一步: 客戶端傳送http request 給伺服器,伺服器驗證該使用者是否已經登入驗證過了,如果沒有的話,
伺服器會返回一個401 Unauthozied給客戶端,並且在Response 的 header "WWW-Authenticate" 中新增資訊。
如下圖。
第二步:瀏覽器在接受到401 Unauthozied後,會彈出登入驗證的對話方塊。使用者輸入使用者名稱和密碼後,
瀏覽器用BASE64編碼後,放在Authorization header中傳送給伺服器。如下圖:
第三步: 伺服器將Authorization header中的使用者名稱密碼取出,進行驗證, 如果驗證通過,將根據請求,傳送資源給客戶端。
下面來看一個JAVA的示例程式碼:
- import java.io.IOException;
- import java.io.PrintWriter;
- import javax.servlet.http.HttpServlet;
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletResponse;
- import sun.misc.BASE64Decoder;
- publicclass HTTPAuthServlet extends HttpServlet {
- publicvoid doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
- String sessionAuth = (String) request.getSession().getAttribute("auth");
- if (sessionAuth != null) {
- System.out.println("this is next step"
- nextStep(request, response);
- } else {
- if(!checkHeaderAuth(request, response)){
- response.setStatus(401);
- response.setHeader("Cache-Control", "no-store");
- response.setDateHeader("Expires", 0);
- response.setHeader("WWW-authenticate", "Basic Realm=\"test\"");
- }
- }
- }
- privateboolean checkHeaderAuth(HttpServletRequest request, HttpServletResponse response) throws IOException {
- String auth = request.getHeader("Authorization");
- System.out.println("auth encoded in base64 is " + getFromBASE64(auth));
- if ((auth != null) && (auth.length() > 6)) {
- auth = auth.substring(6, auth.length());
- String decodedAuth = getFromBASE64(auth);
- System.out.println("auth decoded from base64 is " + decodedAuth);
- request.getSession().setAttribute("auth", decodedAuth);
- returntrue;
- }else{
- returnfalse;
- }
- }
- private String getFromBASE64(String s) {
- if (s == null)
- returnnull;
- BASE64Decoder decoder = new BASE64Decoder();
- try {
- byte[] b = decoder.decodeBuffer(s);
- returnnew String(b);
- } catch (Exception e) {
- returnnull;
- }
- }
- publicvoid nextStep(HttpServletRequest request, HttpServletResponse response) throws IOException {
- PrintWriter pw = response.getWriter();
- pw.println("<html> next step, authentication is : " + request.getSession().getAttribute("auth") + "<br>");
- pw.println("<br></html>");
- }
- publicvoid doPost(HttpServletRequest request, HttpServletResponse response) throws IOException {
- doGet(request, response);
- }
- }
認證之後將認證資訊放在session,以後在session有效期內就不用再認證了。