https://www.heckjj.com/index.php zh-cn https://www.heckjj.com/apache-tomcat-http-basic-and-digest-authen/ Heck <@hecks.tk> Wed, 03 Aug 2011 14:43:10 +0000 https://www.heckjj.com/apache-tomcat-http-basic-and-digest-authen/ 本文主要讲述如何在tomcat中配置Basic认证以及工作流程：
Tomcat配置:
1 在tomcat的webapps下新建一个目录authen，再建立子目录subdir,下面放一个index.jsp

2 在authen目录下建立WEB-INF目录，下放web.xml文件，内容如下:
<security-constraint>   <web-resource-collection>     <web-resource-name>       My App     </web-resource-name>     <url-pattern>/subdir/*</url-pattern>   </web-resource-collection>   <auth-constraint>     <role-name>manager</role-name>   </auth-constraint> </security-constraint> <login-config>   <auth-method>BASIC</auth-method> <!-- 如果是DIGEST认证这里填DIGEST -->     <realm-name>My Realm</realm-name> </login-config>
3 在tomcat的tomcat-users.xml文件中添加一个用户名manager密码为admin，manager的用户，角色manager。
客户端访问：
访问http://localhost:port/authen/subdir/index.jsp
会弹出对话框提示认证，输入manager admin可以登录。

工作流程（通过firebug可以查看请求头）
1 客户端先发请求（不知道要认证，头里不包含任何特殊信息）

2 服务器发一个401返回，并含有下面的头
WWW-Authenticate Basic realm="My Realm"

3 客户端认证，含有下面的头
Authorization Basic dGVzdDp0ZXN0
“dGVzdDp0ZXN0”是"test:test"的Base64编码。 (可以通过php函数base64_encode()验证)

缺点:
密码明文传输，非常不安全。

httpclient中的实现:
查看org.apache.commons.httpclient.auth包的BasicScheme类
   // Copy from the httpclient source code     // Omit some codes     public static String authenticate(UsernamePasswordCredentials credentials, String charset) {         ...         StringBuffer buffer = new StringBuffer();         buffer.append(credentials.getUserName());         buffer.append(":");         buffer.append(credentials.getPassword());                  return "Basic " + EncodingUtil.getAsciiString(Base64.encodeBase64(EncodingUtil.getBytes(buffer.toString(), charset)));     }
Tags - tomcat , http , basic和digest认证 ]]> https://www.heckjj.com/apache-tomcat-http-basic-and-digest-authen/#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 https://www.heckjj.com/apache-tomcat-http-basic-and-digest-authen/#blogcomment