Basic 概述

Basic 認(rèn)證是HTTP 中非常簡(jiǎn)單的認(rèn)證方式，因?yàn)楹?jiǎn)單，所以不是很安全，不過仍然非常常用。

當(dāng)一個(gè)客戶端向一個(gè)需要認(rèn)證的HTTP服務(wù)器進(jìn)行數(shù)據(jù)請(qǐng)求時(shí)，如果之前沒有認(rèn)證過，HTTP服務(wù)器會(huì)返回401狀態(tài)碼，要求客戶端輸入用戶名和密碼。用戶輸入用戶名和密碼后，用戶名和密碼會(huì)經(jīng)過BASE64加密附加到請(qǐng)求信息中再次請(qǐng)求HTTP服務(wù)器，HTTP服務(wù)器會(huì)根據(jù)請(qǐng)求頭攜帶的認(rèn)證信息，決定是否認(rèn)證成功及做出相應(yīng)的響應(yīng)。

使用Tomcat進(jìn)行Basic認(rèn)證

如果熟悉Tomcat的朋友，肯定知道Tomcat自帶的有個(gè)manager項(xiàng)目，訪問這個(gè)項(xiàng)目需要Basic認(rèn)證。

下面我們來給我們自己的項(xiàng)目加Basic認(rèn)證。

配置項(xiàng)目的 web.xml

示例：

lvyou

home

com.coder4j.web.servlet.HomeServlet

home

/home.do

GuiLin

/*

lvyou

BASIC

guilin photos

index.html

index.jsp

對(duì)上面加注釋的部分進(jìn)行簡(jiǎn)單的解釋：

web-resource-name : 給這個(gè)認(rèn)證起個(gè)名字

url-pattern : 哪些地址需要認(rèn)證，/*表示此項(xiàng)目的任意地址都需要認(rèn)證，/lvyou/*表示/lvyou下的任意地址都需要認(rèn)證。

role-name : 哪些角色的用戶認(rèn)證后可以訪問此資源(光認(rèn)證還不夠喲，必須得是許可的角色喲)，我這里規(guī)定必須是lvyou這個(gè)角色的用戶才能看我的照片。

auth-method : 認(rèn)證方式為BASIC認(rèn)證。

realm-name : 給出的認(rèn)證提示。

修改 tomcat-users.xml

tomcat 提供了用戶配置文件，我們直接使用就行了。

至此，兩步就完成了Basic 認(rèn)證，如果想訪問我的照片，就需要輸入tom 和 tomcat才行喲。

當(dāng)然配置方式不止這一種，網(wǎng)上一搜很多的，有機(jī)會(huì)再整理一部分，這里僅僅想介紹Basic認(rèn)證。

Basic 認(rèn)證的過程

由上面的實(shí)戰(zhàn)可以得知，Basic認(rèn)證的流程很簡(jiǎn)單，現(xiàn)概述如下：

1, 客戶端向服務(wù)器請(qǐng)求數(shù)據(jù)，并且請(qǐng)求的數(shù)據(jù)是需要認(rèn)證才能看的，并且客戶端目前沒有認(rèn)證過。

2, 訪問的頁(yè)面需要認(rèn)證，客戶端彈出認(rèn)證窗口。

認(rèn)證窗口關(guān)閉之前，瀏覽器狀態(tài)一直是：pending等待用戶輸入。

點(diǎn)擊 x 或取消，將會(huì)出現(xiàn)401狀態(tài)碼，響應(yīng)內(nèi)容如下：

響應(yīng)頭中有一句話：

WWW-Authorization: Basic realm="guilin photos"

表示需要認(rèn)證，提示信息為：guilin photos

3, 刷新頁(yè)面，輸入正確的用戶名和密碼，將會(huì)進(jìn)入到我們的項(xiàng)目中

輸入用戶名和密碼的請(qǐng)求信息頭如下：

這是我們的認(rèn)證信息。加密策略如下：

用戶名和密碼用:合并，將合并后的字符串使用BASE64加密為密文，每次請(qǐng)求時(shí)，將密文附于請(qǐng)求頭中，服務(wù)器接收此密文，進(jìn)行解析，判斷是否認(rèn)證

Java 實(shí)現(xiàn)

我們知道了流程，當(dāng)然可以用代碼來實(shí)現(xiàn)。

核心代碼：

HttpSession session = request.getSession();

String user = (String) session.getAttribute("user");

String pass;

if (user == null) {

try {

response.setCharacterEncoding("utf-8");

PrintWriter out = response.getWriter();

String authorization = request.getHeader("Authorization");

if (authorization == null || authorization.equals("")) {

response.setStatus(401);

response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");

out.print("401 認(rèn)證失敗");

return;

}

String userAndPass = new String(new BASE64Decoder().decodeBuffer(authorization.split(" ")[1]));

if (userAndPass.split(":").length < 2) {

response.setStatus(401);

response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");

out.print("401 認(rèn)證失敗");

return;

}

user = userAndPass.split(":")[0];

pass = userAndPass.split(":")[1];

if (user.equals("111") && pass.equals("111")) {

session.setAttribute("user", user);

// 跳轉(zhuǎn)合適的地方

} else {

response.setStatus(401);

response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");

out.print("401 認(rèn)證失敗");

return;

}

} catch (Exception ex) {

ex.printStackTrace();

}

} else {

// 跳轉(zhuǎn)合適的地方

}

Basic認(rèn)證的核心就是響應(yīng)401狀態(tài)碼，告知瀏覽器需要用戶輸入用戶名和密碼，然后就是后臺(tái)按照Basic加密的方式進(jìn)行解密驗(yàn)證即可。

缺點(diǎn)

HTTP基本認(rèn)證的目標(biāo)是提供簡(jiǎn)單的用戶驗(yàn)證功能，其認(rèn)證過程簡(jiǎn)單明了，適合于對(duì)安全性要求不高的系統(tǒng)或設(shè)備中，如大家所用路由器的配置頁(yè)面的認(rèn)證，幾乎都采取了這種方式。其缺點(diǎn)是沒有靈活可靠的認(rèn)證策略，另外，BASE64的加密強(qiáng)度非常低，直接能在請(qǐng)求頭中看到，幾乎相當(dāng)于明文了。

總結(jié)

以上是生活随笔為你收集整理的java basic认证_Basic认证的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。