51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

使用Apache HttpClient突破J2EE站点认证

作者:山崺颋/孙元涛
开发 后端
商业性 Web 站点大都提供站点认证功能以保护某些受限资源,HTTP 协议和 J2EE 规范对 Web 站点的认证过程都已有了详尽的定义,常见浏览器都能根据相应协议提供对应的界面形式帮助用户完成站点的认证过程。但在某些情况下,我们需要编写程序直接获取站点的受保护资源,在这类情况下,就不能利用浏览器给定的界面去完成认证,而需要我们根据不同的协议人工地发送相应请求以完成整个认证过程。本文根据这种需求给出一个基于 Apache HttpClient 应用包的解决方案。

J2EE 站点认证简介

出于安全性的需要和用户授权管理的考虑,常见的 J2EE 站点对特定资源都会加入认证/授权机制。例如一个公网上的论坛,一个只对特定用户开放的 RSS 或 Atom Feed,这些资源都必须在确信访问者为被授权用户时才能向访问者开放。为了实现这样的功能,J2EE 站点通常会采用某种站点认证机制,其中常见的有 HTTP Basic 认证和 J2EE Form-Based 认证。

HTTP Basic 认证

HTTP Basic 认证是 HTTP 认证协议(rfc2617)所定义的标准认证方式。要求 HTTP Basic 认证的服务器会在客户端访问受保护资源时向客户端发出请求,要求客户端上传用户名和密码对。服务器在收到用户名/密码并验证通过后,才将保护资源的内容返回给客户端。它的工作机制如下图:

图 1. HTTP Basic 认证原理

图 1. HTTP Basic 认证原理 

由于是 HTTP 规范,因而常见的浏览器,如 Internet Explorer,Mozilla Firefox,在 步骤 2 中收到服务器对用户名和密码的请求时会弹出认证对话框,供用户输入用户名/密码。

图 2. Firefox 在收到步骤 2 中请求时弹出的用户名/密码输入框

图 2. Firefox 在收到步骤 2 中请求时弹出的用户名/密码输入框 

HTTP Basic 认证方式使用 base64 编码方式传送用户名和密码,而 base64 仅仅是一种公开的编码格式而非加密措施,因而如果信道本身不使用 SSL 等安全协议,用户密码较容易被截获。

J2EE Form-Based 认证

Form-Based 认证不同于 HTTP Basic 认证,它是 J2EE 对于认证方式的一种扩展。它使用自定义的 HTML 表单(通常为 login.jsp)作为输入用户名和密码的用户界面,最终将用户在表单上填入的用户名/密码提交至服务器。它的工作机制如下:

图 3. Form-Based 认证原理

图 3. Form-Based 认证原理 

Form-Based 认证方式在 J2EE 站点中更为常见。这一方面是由于它提供了自定义的用户名密码输入界面;另一方面它的传输也更为安全,通常情况下 login.jsp 会被配置为需要使用 SSL 信道访问,这样在步骤 2、3 中对用户名和密码的传送就被安全信道所保护,而较难被非法截取。

Apache HttpClient 认证功能简介

Apache HttpClient 是 Apache 开源组织提供的纯 Java 实现的 HTTP 开源包。它能模拟各类 HTTP 客户端所需功能,例如 HTTP/HTTPS 连接,GET/PUT 请求,甚至提供了超时重试的功能。

HttpClient 也提供了对标准 HTTP 认证的接口,在最新的 HttpClient 3.1 中,支持的认证方式有:

  • Basic 认证:即前面提到的 rfc2716 规范中定义的 HTTP Basic 认证方式。
  • Digest 认证:一种基于摘要的更为安全的认证协议,虽然它的应用没有 Basic 认证方式广泛。
  • NTLM 认证:微软制定的认证协议规范,然而此项标准的细节却并不公开。

我们可以注意到 Form-Based 认证并不在其中,这是因为 Form-Based 认证方式并非 HTTP 协议标准,而是 J2EE 提供的一种特殊的认证方式,因而开发者需要在 HttpClient 基础上另行开发适合 Form-Based 认证的方案。

使用 Apache HttpClient 通过 HTTP Basic 认证

由于 HttpClient 内置支持 HTTP Basic 认证方式,因而使用 HttpClient 通过 HTTP Basic 认证的步骤显得较为简单。

  1. 为 HttpClient 的状态对象添加用户名/密码对。可以注意到在 setCredentials 方法中的另一个参数为 AuthScope 对象。事实上我们添加的每个用户名/密码对都与一个 AuthScope 对象相关联。AuthScope 对象确定了此用户名/密码对的适用站点,在示例中所给出的用户名/密码对将只适用于 www.sample.com 位于 80 端口上的资源。HttpClient 在与其他站点交互时将不会使用此用户名/密码对,这样有效地防止了机密数据被传送至不必要的站点。
  2. 开启 HttpClient 提供的占先式(Preemptive)认证功能。开启了这个功能后,HttpClient 对于那些处在之前请求过的URI空间范围内的资源,会主动地随请求一起向服务器发送 Basic 认证数据,而不是等待服务器返回是否需要认证的响应后再提交认证。在多数情况下,能够减少请求-响应传递的次数,从而间接提高了服务器的响应能力。值得注意的是在这种情况下必须在 AuthScope 对象中明确指定适用站点,以避免向不相关的站点泄漏敏感数据。
  3. 创建 GetMethod 对象,此对象将使用 GET 方式对保护资源发出 HTTP 请求。
  4. setDoAuthentication(true) 语句将告知 HttpClient 在服务器端发回需要认证的请求后,自动将我们在步骤 1 中设置的用户名/密码对发送至服务器,以完成认证过程。

执行 GET 请求,获取和处理受保护资源的内容。

清单 1. Basic 认证示例

  1.                   
  2. HttpClient client = new HttpClient();  
  3.       
  4. // 1  
  5. client.getState().setCredentials(  
  6.     new AuthScope("www.sample.com"80, AuthScope.ANY_REALM),  
  7.     new UsernamePasswordCredentials("username""password")  
  8. );  
  9.            
  10. // 2  
  11. client.getParams().setAuthenticationPreemptive(true);  
  12.  
  13. // 3  
  14. GetMethod get = new GetMethod("http://www.sample.com/protected.html");  
  15.  
  16. // 4  
  17. get.setDoAuthentication( true );  
  18.  
  19. try {  
  20.     // 5  
  21.     int status = client.executeMethod( get );  
  22.  
  23.     // process the content from the response  
  24.     …  
  25.  
  26. finally {  
  27.     get.releaseConnection();  

由于 Basic 认证方式直接向服务器发送未经加密的用户名/密码对,导致这些敏感数据很容易在网络传输过程中被截取,因此安全性很低。所幸 HttpClient 对基于安全套接字层(SSL)的 HTTP 协议(HTTPS)提供了足够的支持,而且使用起来也很简单。不过之前需确保本地机器已经安装好 JSSE(Sun 提供的 JDK 1.4 及之后的版本已集成 JSSE)。

使用 HttpClient 进行标准的 SSL 连接对用户来说是透明的。参照清单 1,用户只需用符合 HTTPS 协议的 URL 作为参数生成 GetMethod 对象即可。除此之外,HttpClient 还允许用户定制 SSL 使得客户端程序能够自动接受不同类型的证书。

利用 HttpClient 实现一个自定义的 SSL 协议包括以下 3 个关键步骤:

  1. 定制一个实现了 org.apache.commons.httpclient.protocol.SecureProtocolSocketFactory 接口的工厂类。这个工厂类的作用是开启一个与服务器通讯的 Socket 并进行必需的初始化动作。关于实现该接口的具体细节,HttpClient 项目的主页上有详细的代码实例和注释说明。
  2. 利用之前创建的工厂类对象、HTTPS 协议名称和默认端口号实例化一个新的 org.apache.commons.httpclient.protocol.Protocol 对象。
  3. 注册这个自定义的 Protocol 对象使其与某个协议名绑定,当 HttpClient 处理此类协议时,将默认调用这个自定义 Protocol 对象。

清单 2. 在 HttpClient 中自定义 SSL 示例

  1. // 1  
  2. SecureProtocolSocketFactory sampleSSLSocketFactory = new SampleSSLSocketFactory();  
  3.       
  4. // 2  
  5. Protocol httpsProtocol = new Protocol("https", sampleSSLSocketFactory, 443);  
  6.  
  7. // 3  
  8. Protocol.registerProtocol("https", httpsProtocol);  
  9.  
  10. HttpClient client = new HttpClient();  
  11.  
  12. client.getState().setCredentials(  
  13.     new AuthScope("www.sample.com"80, AuthScope.ANY_REALM),  
  14.     new UsernamePasswordCredentials("username""password")  
  15. );  
  16.            
  17. // Request the protected resource via SSL  
  18. GetMethod get = new GetMethod("https://www.sample.com/protected.html");  
  19.  
  20. get.setDoAuthentication( true );  
  21.  
  22. try {  
  23.     int status = client.executeMethod( get );  
  24.  
  25.     // process the content from the response  
  26.     …  
  27. finally {  
  28.     get.releaseConnection();  

使用 Apache HttpClient 通过 Form-Based 认证

Form-Based 认证相对 HTTP Basic 认证而言过程较为复杂,需要开发者记录下相关的 cookie 信息和部分 header 字段并多次向站点发出请求。它的大致原理如下:

注意:不同的应用可能有不同的配置方式,开发者可以先在浏览器中手动访问受保护资源,获取 login.jsp。进行分析后即可获知对应的认证服务资源 j_security_check 的位置以及对应的用户名与密码在表单中的字段。

假定我们需要访问的受保护资源为 http://www.sample.com/sampleApp/sample.rss。首先我们需要向此保护资源发出请求。而由 Form-Based 认证原理一节中可知,J2EE 服务器会将此请求重定向至 login.jsp。如果仔细分析 login.jsp 我们能发现它仅仅是一个 HTML 表单,其中有两个字段 j_username 和 j_password 分别记录用户名和密码,而提交的目标则是 j_security_check。通常情况下,J2EE 构架会在每个站点应用的根节点定义一个 j_security_check 的资源。而我们的站点的应用程序根(Application Root)为 sampleApp。因而,通过将用户名,密码以及相关 cookie 和 header 字段以 POST 方式发送至 http://www.sample.com/sampleApp/j_security_check 即可通过站点认证。在通过站点认证后,服务器端将给出一个新的重定向,通常它将指向了用户最初试图访问的受保护资源(本例中也就是 http://www.sample.com/sampleApp/sample.rss)。我们只需要再次创建访问对象向此资源发出请求即可获得其内容。

以下给出一个示例:

清单 3. Form-Based 认证示例

  1.                   
  2. HttpClient client = new HttpClient();  
  3. client.getState().setCookiePolicy(CookiePolicy.COMPATIBILITY);  
  4.  
  5. // 1  
  6. GetMethod authget = new GetMethod("httpwww.sample.comsampleAppsample.rss");  
  7. try {  
  8.     client.executeMethod(authget);  
  9. }  
  10. catch (HttpException httpe) {  
  11.     httpe.printStackTrace();  
  12. }  
  13. catch (IOException ioe) {  
  14.     ioe.printStackTrace();  
  15. }  
  16.  
  17. // 2  
  18. NameValuePair[] data = new NameValuePair[2];  
  19. data[0] = new NameValuePair("j_username", username);  
  20. data[1] = new NameValuePair("j_password", password);  
  21.  
  22. PostMethod authpost = new PostMethod("http://www.sample.com/sampleApp/j_security_check");  
  23. authpost.setRequestBody(data);  
  24.  
  25. // 3  
  26. Header hCookie = authget.getRequestHeader("Cookie");  
  27. Header hHost = authget.getRequestHeader("Host");  
  28. Header hUserAgent = authget.getRequestHeader("User-Agent");  
  29. if (hCookie == null || hHost == null || hUserAgent == null) {  
  30.     return null;  
  31. }  
  32.  
  33. authpost.setRequestHeader(hCookie);  
  34. authpost.setRequestHeader(hHost);  
  35. authpost.setRequestHeader(hUserAgent);  
  36.  
  37. authget.releaseConnection();  
  38.  
  39. try {  
  40.     client.executeMethod(authpost);  
  41.  
  42.     // 4  
  43.     Header header = authpost.getResponseHeader("location");  
  44.     if (header != null) {  
  45.         String newuri = header.getValue();   
  46.         GetMethod redirect = new GetMethod(newuri);  
  47.  
  48.         client.executeMethod(redirect);   
  49.         // process the content from the response  
  50.         redirect.releaseConnection();              
  51.     }  
  52. catch (HttpException httpe) {  
  53.     httpe.printStackTrace();  
  54.     return null;  
  55. catch (IOException ioe) {  
  56.     ioe.printStackTrace();  
  57.     return null;  
  58. }  
  59. authpost.releaseConnection(); 

其中各个步骤解释如下:

  1. 使用 GET 方式请求 sample.rss。服务器收到连接后将在响应中给出连接信息,HttpClient 在接收到响应后会将其保存至 cookie 中。
  2. 准备第二次对 j_security_check 的连接,将用户名和密码填入新的 POST 请求的正文。
  3. 将 cookie 和部分 header 字段拷贝至新请求的报头中,并发送请求。
  4. 从认证成功的响应中获取重定向,并对重定向指向的资源发出请求,获取并处理内容。

小  结

随着 Web 2.0 时代的到来,Web 站点的数据和内容显得愈加重要。而为了收集这些数据,人们需要利用计算机本身的搜集能力,通过后台请求,而不是浏览器交互的方式去获取站点的数据。而商业站点中普遍存在的认证/授权机制显然成为了开发此类数据收集程序的一道屏障。Apache HttpClient 根据这些需求,提供了多种 HTTP 认证机制的实现方案。开发人员也可以利用 HttpClient 强大的底层功能,设计特定方案以通过 J2EE 站点的认证体系。

原文链接:http://www.ibm.com/developerworks/cn/java/j-lo-httpclient-j2ee/

【编辑推荐】

  1. wabacus 3.2已发布 J2EE快速开发框架
  2. J2EE总结:Java命名与目录接口JNDI
  3. 对于大型公司项目平台选择J2EE的三层认识
  4. 关于学习J2EE框架的反思
  5. 简单介绍J2EE应用的五种核心策略
责任编辑:林师授 来源: IBM
JavaJ2EE
相关推荐
J2EE使用JNDI
在J2EE环境下使用JNDI是非常简单的事,因为所有的J2EE容器都要实现JNDI服务,所以,在J2EE环境下使用JNDI,与使用Hashtable也没有什么太大区别。只有一点限制,那就是绑定对象时,对象所属的类必须实现java.io.Serializable接口,这一点也实在一点也不困难,几乎所有用到的Java类都实现了这个接口,对于自定义的类,在接口实现列表里把这个接口加进去也就是了。

2009-06-18 15:54:57

J2EE下使用JNDI
J2EE体系架构设计介绍(1) J2EE模型及J2EE设计模式
本文介绍了J2EE体系架构的设计方法以及一些常用模式。模型视图控制(modelviewcontrol,简称MVC)结构是目前最常见的J2EE应用所基于的体系结构,MVC主要适用于交互式的Web应用。本文介绍J2EE模型以及J2EE设计模式。

2009-06-23 08:06:46

J2EE体系架构J2EE模型J2EE设计模式
J2EE基础知识 理解J2EE的概念
J2EE学习者越来越多,J2EE本身技术不断在发展,涌现出各种概念,本文章试图从一种容易理解的角度对这些概念向初学者进行解释,以便掌握学习J2EE学习方向。

2009-06-10 14:10:23

J2EE学习J2EE是什么
J2EE历史简述
本文提供Java个版本的一个概述。J2EE,Java2平台企业版(Java2PlatformEnterpriseEdition),是Sun公司为企业级应用推出的标准(Platform)。2005年,Java的各种版本已经更名以取消其中的数字2:J2EE更名为JavaEE,J2SE更名为JavaSE,J2ME更名为JavaME。

2009-06-11 17:06:11

J2EE历史Java EE概述
J2EE的优势
J2EE的优势在于其可伸缩性、灵活性以及易于维护的特点。这是实时性很强商业系统理想的选择。

2009-06-10 13:37:06

J2EE可伸缩性J2EE灵活性J2EE维护
J2EE常见问题 J2EE平台的特征与优点
Java2Platform,EnterpriseEdition(J2EE)是一组协调规范与实践,它们组合起来,能够实现用于开发、部署和管理多层的以服务器为中心的应用程序的解决方案。本文总结了一些J2EE的常见问题,方便参考。

2009-06-23 16:48:26

J2EE常见问题J2EE平台
J2EE架构和过程
本文介绍了J2EE平台的四个关键部分:规格说明、参考实现、兼容性测试套件和蓝图(BluePrint)计划。通过阅读这篇文章,你可以了解许多重要的J2EE架构的话题,并且能够扩展和修改这个简单的方法来解决自己特有的业务问题。

2009-06-22 17:34:40

J2EE架构
J2EE调用存储过程
本文讲述了J2EE调用存储过程。首先讲解存储过程的分类,然后提供了几个范例以供Java学习者参考。

2009-06-23 08:12:48

J2EE调用存储过程
Java EE = J2EE = Java企业应用
J2EE在2004年改名为JavaEE,回归了原本的意义。现在大多数人倾向于更加突出Java了,J2EE容易让初学者误解是独立于一套Java的技术方案。总之,都是Java企业应用的意思。

2009-06-22 17:05:41

Java EEJava企业应用
J2EE线程代码示例
本篇文章提供了一段代码,展示了J2EE线程的开始,运行以及调用的方法。

2009-06-22 16:21:02

J2EE线程
浅谈J2EE开发技术
本文简单探讨了一下J2EE开发技术。IBM和BEA是Java社区的领导者,从2004年开始便开始大肆宣传SOA,将他们的目光从应用服务器领域挪到了松藕合企业服务领域,开展SOA商业战略。Spring和JBoss又各自代表了不同的方面。

2009-06-18 16:13:14

J2EE开发
使用WebSphere构建J2EE应用程序
在构建强大而灵活的可扩展J2EE应用程序时,您需要考虑一些相关因素。一个重要的注意事项是允许应用程序在集群环境中高效地运行。本文讨论了在WebSphereApplicationServer集群环境中设计基于Web的应用程序时需要考虑的事项。

2009-06-11 17:07:49

WebsphereJ2EE应用程序
J2EE设计模式之Template
本文介绍了J2EE设计模式中的Template的用法。其实Java的抽象类本来就是Template模式,因此使用很普遍,而且很容易理解和使用。使用抽象类可以大大增强项目的扩展性。

2009-06-11 17:19:47

J2EE设计模式Template
J2EE学习经验和流程
本文介绍一些J2EE学习经验。学习j2ee流程,作者领会到很多经验和教训,在这里,他建议先学习j2SE,并且不要被IDE纠缠。

2009-06-19 17:03:44

J2EE学习
J2ee Jdbc存储过程调用
本文总结了J2ee的Jdbc存储过程调用。Jdbc存储过程是保存起来的可以接受和返回用户提供的参数的TransactSQL语句的集合。

2009-06-22 11:04:00

Jdbc存储过程
j2ee学习方法摘要
J2EE是一套全然不同于传统应用开发的技术架构,包含许多组件,主要可简化且规范应用系统的开发与部署,进而提高可移植性、安全与再用价值。一起来看本文。

2011-05-16 14:07:58

J2EE
J2EE常用的设计模式
本篇文章列举了23个J2EE中常用的设计模式,并简单介绍了工厂模式的概念。根据工厂模式实现的类可以根据提供的数据生成一组类中某一个类的实例,通常这一组类有一个公共的抽象父类并且实现了相同的方法,但是这些方法针对不同的数据进行了不同的操作。

2009-06-11 17:11:07

J2EE设计模式工厂模式
J2EE架构师之路
很多初学Java的朋友要我推荐一些书籍,很愿意分享从程序员到架构师的历程中阅读过的好书,但是每个人的掌握的技术基础不大一样,所以推荐的书单并不具有通用性。仅在此列举在过去几年中阅读过的,而且比较优秀的书。

2009-02-23 11:18:06

J2EE架构师Java
小白科普:Java EE vs J2EE vs Jakarta EE
听说过JavaEE吗那关于Java2EE、J2EE或者现在的JakartaEE,你又是否有所耳闻呢实际上,这些各异的术语描述的都是相同的东西:由JavaSE扩展出的一系列企业规范。

2019-01-08 16:26:43

Java EEJ2EEJakarta EE
J2EE项目代码编写规范
本文总结了一些J2EE项目代码编写规范。代码编写规范的目的在于能够在编码过程中实现规范化,为以后的程序开发中养成良好的行为习惯。

2009-06-23 16:50:24

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服