国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

Basic認證

testHs / 3622人閱讀

摘要:用戶輸入用戶名和密碼后,用戶名和密碼會經過加密附加到請求信息中再次請求服務器,服務器會根據請求頭攜帶的認證信息,決定是否認證成功及做出相應的響應。給出的認證提示。認證窗口關閉之前,瀏覽器狀態一直是等待用戶輸入。

Basic 概述

Basic 認證是HTTP 中非常簡單的認證方式,因為簡單,所以不是很安全,不過仍然非常常用。

當一個客戶端向一個需要認證的HTTP服務器進行數據請求時,如果之前沒有認證過,HTTP服務器會返回401狀態碼,要求客戶端輸入用戶名和密碼。用戶輸入用戶名和密碼后,用戶名和密碼會經過BASE64加密附加到請求信息中再次請求HTTP服務器,HTTP服務器會根據請求頭攜帶的認證信息,決定是否認證成功及做出相應的響應。

使用Tomcat進行Basic認證

如果熟悉Tomcat的朋友,肯定知道Tomcat自帶的有個manager項目,訪問這個項目需要Basic認證。

下面我們來給我們自己的項目加Basic認證。

配置項目的 web.xml

示例:



  lvyou
  
    home
    com.coder4j.web.servlet.HomeServlet
  
  
    home
    /home.do
  

    
    
        
            GuiLin
            /*
        

        
            lvyou
        
    

    
        BASIC
        guilin photos
    
    


  
    index.html
    index.jsp
  

對上面加注釋的部分進行簡單的解釋:

web-resource-name : 給這個認證起個名字

url-pattern : 哪些地址需要認證,/*表示此項目的任意地址都需要認證,/lvyou/*表示/lvyou下的任意地址都需要認證。

role-name : 哪些角色的用戶認證后可以訪問此資源(光認證還不夠喲,必須得是許可的角色喲),我這里規定必須是lvyou這個角色的用戶才能看我的照片。

auth-method : 認證方式為BASIC認證。

realm-name : 給出的認證提示。

修改 tomcat-users.xml

tomcat 提供了用戶配置文件,我們直接使用就行了。



  
  

至此,兩步就完成了Basic 認證,如果想訪問我的照片,就需要輸入tomtomcat才行喲。

當然配置方式不止這一種,網上一搜很多的,有機會再整理一部分,這里僅僅想介紹Basic認證。

Basic 認證的過程

由上面的實戰可以得知,Basic認證的流程很簡單,現概述如下:

1, 客戶端向服務器請求數據,并且請求的數據是需要認證才能看的,并且客戶端目前沒有認證過。

2, 訪問的頁面需要認證,客戶端彈出認證窗口。

認證窗口關閉之前,瀏覽器狀態一直是:pending等待用戶輸入。

點擊 x 或取消,將會出現401狀態碼,響應內容如下:

響應頭中有一句話:

WWW-Authorization: Basic realm="guilin photos"

表示需要認證,提示信息為:guilin photos

3, 刷新頁面,輸入正確的用戶名和密碼,將會進入到我們的項目中

輸入用戶名和密碼的請求信息頭如下:

這是我們的認證信息。加密策略如下:

用戶名和密碼用:合并,將合并后的字符串使用BASE64加密為密文,每次請求時,將密文附于請求頭中,服務器接收此密文,進行解析,判斷是否認證

Java 實現

我們知道了流程,當然可以用代碼來實現。

核心代碼:

HttpSession session = request.getSession();
String user = (String) session.getAttribute("user");
String pass;
if (user == null) {
    try {
        response.setCharacterEncoding("utf-8");
        PrintWriter out = response.getWriter();
        String authorization = request.getHeader("Authorization");
        if (authorization == null || authorization.equals("")) {
            response.setStatus(401);
            response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
            out.print("401 認證失敗");
            return;
        }
        String userAndPass = new String(new BASE64Decoder().decodeBuffer(authorization.split(" ")[1]));
        if (userAndPass.split(":").length < 2) {
            response.setStatus(401);
            response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
            out.print("401 認證失敗");
            return;
        }
        user = userAndPass.split(":")[0];
        pass = userAndPass.split(":")[1];
        if (user.equals("111") && pass.equals("111")) {
            session.setAttribute("user", user);
            // 跳轉合適的地方
        } else {
            response.setStatus(401);
            response.setHeader("WWW-Authenticate", "Basic realm="input username and password"");
            out.print("401 認證失敗");
            return;
        }
    } catch (Exception ex) {
        ex.printStackTrace();
    }
} else {
    // 跳轉合適的地方
}

Basic認證的核心就是響應401狀態碼,告知瀏覽器需要用戶輸入用戶名和密碼,然后就是后臺按照Basic加密的方式進行解密驗證即可。

缺點

HTTP基本認證的目標是提供簡單的用戶驗證功能,其認證過程簡單明了,適合于對安全性要求不高的系統或設備中,如大家所用路由器的配置頁面的認證,幾乎都采取了這種方式。其缺點是沒有靈活可靠的認證策略,另外,BASE64的加密強度非常低,直接能在請求頭中看到,幾乎相當于明文了。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/65434.html

相關文章

  • TCP/IP基礎總結性學習(8)

    摘要:步驟接收到狀態碼的客戶端為了通過認證,需要將用戶及密碼發送給服務器。所謂雙因素認證就是指,認證過程中不僅需要密碼這一個因素,還需要申請認證者提供其他持有信息,從而作為另一個因素,與其組合使用的認證方式。 確認訪問用戶身份的認證 某些 Web 頁面只想讓特定的人瀏覽,或者干脆僅本人可見。為達到這個目標,必不可少的就是認證功能。下面我們一起來學習一下認證機制。 一. 何為認證 1.計算機...

    monw3c 評論0 收藏0
  • TCP/IP基礎總結性學習(8)

    摘要:步驟接收到狀態碼的客戶端為了通過認證,需要將用戶及密碼發送給服務器。所謂雙因素認證就是指,認證過程中不僅需要密碼這一個因素,還需要申請認證者提供其他持有信息,從而作為另一個因素,與其組合使用的認證方式。 確認訪問用戶身份的認證 某些 Web 頁面只想讓特定的人瀏覽,或者干脆僅本人可見。為達到這個目標,必不可少的就是認證功能。下面我們一起來學習一下認證機制。 一. 何為認證 1.計算機...

    Labradors 評論0 收藏0
  • TCP/IP基礎總結性學習(8)

    摘要:步驟接收到狀態碼的客戶端為了通過認證,需要將用戶及密碼發送給服務器。所謂雙因素認證就是指,認證過程中不僅需要密碼這一個因素,還需要申請認證者提供其他持有信息,從而作為另一個因素,與其組合使用的認證方式。 確認訪問用戶身份的認證 某些 Web 頁面只想讓特定的人瀏覽,或者干脆僅本人可見。為達到這個目標,必不可少的就是認證功能。下面我們一起來學習一下認證機制。 一. 何為認證 1.計算機...

    韓冰 評論0 收藏0
  • 為ElasticSearch添加HTTP基本認證

    摘要:項目上線前做十萬伏特的防護當然不現實,但至少,我們不要裸奔,穿一套比基尼吧。上目前的最新版本是對應的版本,但驗證過也是同樣可用的。 ES的HTTP連接沒有提供任何的權限控制措施,一旦部署在公共網絡就容易有數據泄露的風險,尤其是加上類似elasticsearch-head這樣友好的前端界面,簡直讓你的數據瞬間裸奔在黑客的眼皮底下。項目上線前做十萬伏特的防護當然不現實,但至少,我們不要裸奔...

    dantezhao 評論0 收藏0

發表評論

0條評論

testHs

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<