`
robertliudeqiang
  • 浏览: 121888 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

http认证(二) - DIGEST 认证

    博客分类:
  • web
TomcatFirebugJSPXMLWeb 
阅读更多
和讲Basic篇的内容差不多,不同的是过程采用的是DIGEST认证:

Tomcat配置:
1 在tomcat的webapps下新建一个目录authen,再建立子目录subdir,下面放一个index.jsp

2 在authen目录下建立WEB-INF目录,下放web.xml文件,内容如下 
<security-constraint>
	<web-resource-collection>
		<web-resource-name>
			My App
		</web-resource-name>
		<url-pattern>/subdir/*</url-pattern>
	</web-resource-collection>
	<auth-constraint>
		<role-name>test</role-name>
	</auth-constraint>
</security-constraint>

<login-config>
	<auth-method>DIGEST</auth-method>  <!-- DIGEST here -->
	<realm-name>My Realm</realm-name>
</login-config>

3 在tomcat的tomcat-users.xml文件中添加一个用户名密码为test,test的用户,角色test。


客户端访问:
访问http://localhost:port/authen/subdir/index.jsp
会弹出对话框提示认证,输入test test可以登录。


工作流程(通过firebug可以查看请求头)
1 客户端先发请求(不知道要认证,头里不包含任何特殊信息)

2 服务器发一个401返回,并含有下面的头


3 客户端认证,含有下面的头

response="..."就是客户端用来签名的部分。

缺点:
监听到消息的攻击者可以使用这个消息提交请求。

httpclient中的实现
查看org.apache.commons.httpclient.auth包的DigestScheme类的authenticate方法。

RFC2617描述了计算方法:
A valid response contains a checksum (by default, the MD5 checksum) of the username, the password, the given nonce value, the HTTP method, and the requested URI.

  • 大小: 13.9 KB
  • 大小: 22.4 KB
  • 大小: 40.2 KB
分享到:
| http认证(一) - Basic 认证
评论
1 楼 vane002 2012-10-24  
你好,我现在在研究这个协议。就是我用了apache 包 调用了DigestScheme这个类。生成对用的鉴权数据,我把它传入服务端,服务端提示403错误。现在这个问题无法解决。希望可以帮助下。我邮件vane360@163.com 谢谢。
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics