科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道关于用jsp实现http认证安全登陆的学习笔记。

关于用jsp实现http认证安全登陆的学习笔记。

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

关于用jsp实现http认证安全登陆的学习笔记。

作者:我就喜欢 来源:CSDN 2008年3月19日

关键字: 认证 JSP java

  • 评论
  • 分享微博
  • 分享邮件
前几天在CSDN看见有人问
www.cn-java.com 网站的登录对话框是怎么实现的。
(相关连接:http://expert.csdn.net/Expert/topic/1833/1833798.xml?temp=.9407923),
然后自己实验了一下,www.cn-java.com的登陆好象是用SSL来传输密码的。
根据帖子里回复的提示,
发现在jsp里写下以下代码:
<%
  response.setStatus(401);
  response.setHeader("Cache-Control","no-store");
  response.setDateHeader("Expires",0);
  response.setHeader("WWW-authenticate","Basic Realm=\"大富翁论坛用户\"");
%>
确实可以实现那样的对话框,但是对话框要出现三次才消失,
可是怎样来获取用户名字和密码呢???
终于搜索到一篇相关的文章,虽然是PHP的.
(可以用 “超越PHP authorization”作为关键字在google搜索,页面已经无法打开了,
我是通过google toolbar在网页里的右键菜单来打开快找的:
http://216.239.33.100/search?sourceid=navclient-menuext&q=cache:http%3A//www.hooday.com/manual/features.http-auth.php)
但是通过文章内容可以分析出,确实是可以取出用户名字和密码的,
OK,继续搜索(关键字 request.getHeader authorization )。

在java官方论坛找到啦:)

http://forum.java.sun.com/thread.jsp?forum=33&thread=67087&start=0&range=15&hilite=false&q=

全英文,好痛苦,不管它,找我看的懂的,
发现这样一行代码:
out.print("authentication:" + request.getHeader("Authentication"));

马上添到自己的测试页面里测试,结果取值是null :(

不怕,我继续搜索,终于发现 Http header里的不是 authentication而是authorization 才对。
改了,终于取出值了,是 Basic cXdlcjp0ZXN0,看不懂:(

再查资料,原来是Base64编码的,但我还不能够确定这就是存放的用户名字和密码啊,
怎么办???当然找Base64解码工具啦:)

google居然没有搜索到,不过总算发现了
http://www.csdn.net/cnshare/soft/14/14983.shtm
马上下载,在桌面上新建个文本文档,把cXdlcjp0ZXN0写入,保存。
结果decode仍然是乱码,仔细一看,原来自己没有选中Base64,好了,再来,
解码器生成了个eml格式我文件,Outlook打开还是乱码:(

突然灵机一动,用notepad.exe打开新建 文本文档.eml。
发现里面是固定格式的:
Content-Type: text/plain;charset="cn-gb"
Content-Transfer-Encoding: BASE64
aaaaaaa

于是把"aaaaaaa"(当时肯定不是这个啦,我已经删除内容了,所以不知道原来的乱码是什么了,随便写点东西表示一下,呵呵)
替换成 “cXdlcjp0ZXN0”,再用outlook打开一看,果然是我刚才输入的"qwer:test",
那么可以确信这就是用户名字和密码了。


剩下的就是用Base64的decode啦,可惜搜索到的几个base64源代码调试有问题。

因为要收拾东西准备回学校,暂时不再接着去摸索了,

先记点笔记在这里,下次找东西也方便点。

另外有种模仿这样的登陆效果(我是指窗口方式)的,但是是利用window.showModalDialog模态方式打开一个页面来实现的。
参考连接:http://www.hexiesoft.com/(打开这个连接可以看到效果)
要查看网页源代码则需要打开
:http://www.hexiesoft.net/hexiesoft/AnonymousAccessibleForms/login.aspx

http://www.hexiesoft.net/hexiesoft/AnonymousAccessibleForms/login.htm

今天只是刚摸索了点开头,接下来回学校隔离,等毕业答辩,等毕业,再最后正式上班。

以后有空接着记笔记,呵呵!!!


2003-6-3 18:08:00  
查看评语 ?  

2003-6-3 18:17:40  抓了幅图片,呵呵把源代码先记这里,免得以后找不到了。
(刚才提交不成功,原来大富翁没有在笔记屏蔽html,)

< %@ page contentType="text/html; charset=GBK" % >
< %
  response.setStatus(401);
  response.setHeader("Cache-Control","no-store");
  response.setDateHeader("Expires",0);
  response.setHeader("WWW-authenticate","Basic Realm=\"大富翁论坛用户\"");
% >
本页面演示采用 SSL加密认证的方式来传输密码。
//
参考连接:http://expert.csdn.net/Expert/topic/1833/1833798.xml?temp=.9407923
< %
String temppass= request.getHeader("authorization");
if ((temppass!=null)&&(temppass.length()>6)){
out.println("authentication:" + temppass);//经过其它方式验证,此时得到的temppass是Basic加上 Base64之后的编码
//比如我输入的用户名字qwer和密码test则得到qwer:test ,经过编码之后为cXdlcjp0ZXN0,而temppass=Basic cXdlcjp0ZXN0。
% >


2003-6-4 18:18:49  Base64解码正确了参考http://www.javaidea.net/java/basic/base64.jsp
把那两个函数放到一个Bean里的了:

package md5demo;

import sun.misc.BASE64Encoder;
import sun.misc.BASE64Decoder;

public class base64Bean {
 public base64Bean() {
 }
 public String getBASE64(String s) {
 if (s == null) return null;
 return (new sun.misc.BASE64Encoder()).encode( s.getBytes() );
}

// 将 BASE64 编码的字符串 s 进行解码
public String getFromBASE64(String s) {
 if (s == null) return null;
 BASE64Decoder decoder = new BASE64Decoder();
 try {
  byte[] b = decoder.decodeBuffer(s);
  return new String(b);
 } catch (Exception e) {
  return null;
 }
}

}


Jsp里获取用户买和密码:
<%
String temppass= request.getHeader("authorization");
String temppassdecode="";
String username="";
String userpass="";
if ((temppass!=null)&&(temppass.length()>6)){
temppass= temppass.substring(6,temppass.length());
out.println("取出来的用户名字和密码base64code为:"+temppass);
temppassdecode=base64code.getFromBASE64(temppass);
out.println("<br>解码的结果是:"+temppassdecode);
}
%>

用户名字和密码之间是用冒号":"隔开的,但是如果用户名字或者密码里有冒号存在,
怎么来获取正确的用户名字和密码呢???

正待解决中......

2003-7-16 17:35:51  继续ing :)毕业了,正式上班了啦:)

呵呵,自己搞错了些概念,SSL加密传输是必须要有Verisign之类提供的服务器证书才可以。

而jsp里通过设置WWW-authenticate和 BASIC realm(基本验证,用户名字和密码采用Base64加密) 或者Digest realm(摘要验证,密码将会是用md5加密过后的数字).
(参考 http://www.cn-java.com/target/news.php?news_id=2217 中的 关于 http 验证 部分)

另,根据以下内容:
RFC 2617         HTTP Authentication         June 1999
            except not limited to 76 char/line>
   user-pass  = userid ":" password
   userid   = *<TEXT excluding ":">
   password  = *TEXT
可以确定用户名字里不能够包含 “:”的。

修改之后的代码如下(解决了即使输入正确的登陆信息,窗口也要出现三次的问题):


<%@ page contentType="text/html; charset=GBK" %>
<%@ page import="sun.misc.*"%>
<%
  response.setStatus(401);
  response.setHeader("WWW-authenticate","Basic realm=\"大富翁论坛用户\"");
%>
<jsp:useBean id="base64code" scope="request" class="md5demo.base64Bean"/>
<html>
<head>
<title>安全登录的实现</title>
</head>
<body bgcolor="#ffffff">
<h1>
本页面演示采用 Base64 基本认证加密认证的方式来传输密码。
</h1>
<h2>
<%
String temppass= request.getHeader("authorization");
String temppassdecode="";
String username="";
String userpass="";
if ((temppass!=null)&&(temppass.length()>6)){
out.println("<br>解码前是:"+temppass);
temppass= temppass.substring(6,temppass.length());
out.println("取出来的用户名字和密码base64code为:"+temppass);
temppassdecode=base64code.getFromBASE64(temppass);
out.println("<br>解码的结果是:"+temppassdecode);
username=temppassdecode.substring(0,temppassdecode.indexOf(":"));
userpass=temppassdecode.substring(temppassdecode.indexOf(":")+1);
out.println("<br>用户名字是:"+username);
out.println("<br>用户密码是:"+userpass);
if (username.equals("lnboy"))
{
  response.setHeader("Pragma","No-cache");
  response.setHeader("Cache-Control","no-store");
  response.setDateHeader("Expires",0);
  response.setStatus(200);
 out.println("<br>登陆成功了");
}
else{
response.setHeader("Pragma","No-cache");
  response.setHeader("Cache-Control","no-store");
  response.setDateHeader("Expires",0);
out.println("<br>你没有登陆");
}
}
%>
</h2>
</body>
</html>

但是有个问题,验证通过的话,按 F5或者地址栏敲下回车,登陆对话框就不再会出现了,
参考http://www.cn-java.com/tologoff.php 而怎样注销我还没有想到:(
还有其它相关的东西,还在继续摸索中。

...

2003-7-17 8:43:33  又发现点,登陆成功之后,F5或者地址栏敲下回车,登陆对话框不能够再出现的原因是:
Http header里Authorization不再是空,而已经包含
类似下面的信息了:
Authorization: Basic bG5bb3k6NcUxbvIvMjId。

2003-7-20 17:28:15  发现基本验证不安全刚才看了www.cn-java.com
登陆之后,打开页面中其它连接的时候,
发出去的Http header里Authorization仍然包含有验证信息,
如果有人用工具获得了Http数据包,
经过Base64解码就可以得到用户的名字和密码,
这样将很不安全。

正在摸索摘要验证的实现,找到几篇RFC文档在看(好久没有看英文,感觉有点吃力)
已经取得一点进展,但是还有很多细节不清楚,有待继续摸索,先放幅图片再说。
呵呵,就不帖代码了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章