Http认证之Digest认证
2016-05-11 10:09
627 查看
和讲Basic篇的内容差不多,不同的是过程采用的是DIGEST认证:
Tomcat配置:
1 在tomcat的webapps下新建一个目录authen,再建立子目录subdir,下面放一个index.jsp
2 在authen目录下建立WEB-INF目录,下放web.xml文件,内容如下
Xml代码
<security-constraint>
<web-resource-collection>
<web-resource-name>
My App
</web-resource-name>
<url-pattern>/subdir/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>test</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>DIGEST</auth-method> <!-- DIGEST here -->
<realm-name>My Realm</realm-name>
</login-config>
3 在tomcat的tomcat-users.xml文件中添加一个用户名密码为test,test的用户,角色test。
客户端访问:
访问http://localhost:port/authen/subdir/index.jsp
会弹出对话框提示认证,输入test test可以登录。
工作流程(通过firebug可以查看请求头)
1 客户端先发请求(不知道要认证,头里不包含任何特殊信息)
2 服务器发一个401返回,并含有下面的头
3 客户端认证,含有下面的头
response="..."就是客户端用来签名的部分。
缺点:
监听到消息的攻击者可以使用这个消息提交请求。
httpclient中的实现
查看org.apache.commons.httpclient.auth包的DigestScheme类的authenticate方法。
RFC2617描述了计算方法:
A valid response contains a checksum (by default, the MD5 checksum) of the username, the password, the given nonce value, the HTTP method, and the requested URI.
Tomcat配置:
1 在tomcat的webapps下新建一个目录authen,再建立子目录subdir,下面放一个index.jsp
2 在authen目录下建立WEB-INF目录,下放web.xml文件,内容如下
Xml代码
<security-constraint>
<web-resource-collection>
<web-resource-name>
My App
</web-resource-name>
<url-pattern>/subdir/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>test</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>DIGEST</auth-method> <!-- DIGEST here -->
<realm-name>My Realm</realm-name>
</login-config>
<security-constraint> <web-resource-collection> <web-resource-name> My App </web-resource-name> <url-pattern>/subdir/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>test</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>DIGEST</auth-method> <!-- DIGEST here --> <realm-name>My Realm</realm-name> </login-config>
3 在tomcat的tomcat-users.xml文件中添加一个用户名密码为test,test的用户,角色test。
客户端访问:
访问http://localhost:port/authen/subdir/index.jsp
会弹出对话框提示认证,输入test test可以登录。
工作流程(通过firebug可以查看请求头)
1 客户端先发请求(不知道要认证,头里不包含任何特殊信息)
2 服务器发一个401返回,并含有下面的头
3 客户端认证,含有下面的头
response="..."就是客户端用来签名的部分。
缺点:
监听到消息的攻击者可以使用这个消息提交请求。
httpclient中的实现
查看org.apache.commons.httpclient.auth包的DigestScheme类的authenticate方法。
RFC2617描述了计算方法:
A valid response contains a checksum (by default, the MD5 checksum) of the username, the password, the given nonce value, the HTTP method, and the requested URI.
相关文章推荐
- 什么是HTTPS?听大神说https和http有何区别?
- [na]二层+tcp/udp数据包格式
- Linux常用命令(六)网络操作命令
- Http认证之Basic认证
- BP神经网络
- 测试本地网络到云端网络延迟
- 网络是影响开发速度和心情的重要因素
- HTTP 状态码
- Spring Remoting: HTTP Invoker--转
- HTTPS的误解(一)
- 错误:HttpServlet was not found on the Java
- 网络编程知识(10)--CDN
- HTTPS的误解(一)
- Mozilla新特性只支持https网站,再次推动SSL证书普及
- Mozilla新特性只支持https网站,再次推动SSL证书普及
- iOS网络连接优化
- 《TCP/IP详解》学习笔记-第2章 链路层
- HTTP 常见错误代码
- 不要过分相信虚拟机,特别是网络连接方面
- Apache apr & httpd 源代码安装