SASL 的认证方式包括:
1. PLAIN:plain是最简单的机制,但同时也是最危险的机制,因为身份证书(登录名称与密码)是以base64字符串格式通过网络,没有任何加密保护措施。因此,使用plain机制时,你可能会想要结合tls。
2.DIGEST-MD5:使用这种机制时,client与server共享同一个隐性密码,而且此密码不通过网络传输。验证过程是从服务器先提出challenge(质询)开始, 客户端使用此challenge与隐性密码计算出一个response(应答)。不同的challenge,不可能计算出相同的response;任何拥 有secret password的一方,都可以用相同的challenge算出相同的response。因此,服务器只要比较客户端返回的response是否与自己算 出的response相同,就可以知道客户端所拥有的密码是否正确。由于真正的密码并没有通过网络,所以不怕网络监测。
3. anonymous:
anonymous机制对smtp没有意义,因为smtp验证的用意在于限制转发服务的使用对象,而不是为了形成open relay,sasl之所以提供这种机制,主要是为了支持其他协议。
PLAIN 方式的认证流程:
由于是在SASL的认证方式,所以客户端必须要打开SASL认证的模式。
config.setSecurityMode(SecurityMode.enabled);
config.setSASLAuthenticationEnabled( true);
并且在客户端要声明,客户端必须支持PLAIN模式:
SASLAuthentication.supportSASLMechanism("PLAIN");
这样再客户端接下的来的认证过程中就会传输:
<auth mechanism="PLAIN" xmlns="urn:ietf:params:xml:ns:xmpp-sasl">c3lzYWRtaW4Ac3lzYWRtaW4AMTIz</auth>
数据包,接下来服务器端就会对这个数据包进贤处理。
我的服务器端是结合中Openfire进行开发的,当数据包到达时,服务器端会进行如下处理:
if ("auth" .equals(tag))
{
// User is trying to authenticate using SASL
startedSASL = true;
// Process authentication stanza
saslStatus =
SASLAuthentication.handle(session,
doc);
在服务器端接下来的处理过程中,就是通过SaslServer 来进行客户端用户名和密码的认证。SaslServer进行java.sercurity 中的类。
SaslServer ss = Sasl.createSaslServer(mechanism,
"xmpp",
session.getServerName(), props,
new XMPPCallbackHandler());
这里主要使用SaslServer 创建SASL服务器端。
制创建一个 SaslServer。 此方法使用 JCA
Security Provider Framework(在 "Java Cryptography Architecture API Specification & Reference" 中所有描述)来查找和选择 SaslServer 实现。 首先,它从 "SaslServerFactory" 服务的已注册安全提供者和指定的 SASL 机制中获得 SaslServerFactory 实例的有序列表。然后它在列表中的每个工厂实例上调用 createSaslServer(),直到某个调用生成一个非
null 的 SaslServer 实例为止。此方法返回非 null 的 SaslServer 实例,如果搜索无法生成非 null 的SaslServer 实例,则返回 null。
在这里在Openfire中的:org.jivesoftware.openfire.sasl 中的SaslServerFactoryImpl 类实现了,javax.security.sasl.SaslServerFactory,这样在创建SaslServer的时候,就会调用这个具体的实现来进行创建。
在这里在SASLAuthentication 的初始化过程中,在initMechanisms 方法中,就初始化了SaslServerFactory
的类的路径。
在程序运行过程中,就会根据客户端发送的PLAIN 模式,创建SaslServer,并进行处理。
在SaslServerPlainImpl 类中,可以获得客户端发送过来的用户名和密码,这里都是明文进行了传输,可以获得客户端发送的数据。这样
在XMPPCallbackHandler 中就可以获得客户端发送的用户名和密码,然后接下来就是对用户的用户名和密码进行认证。
DIGEST-MD5 :
当服务器端支持 DIGEST-MD5 时,如果客户端不明确声明支持的认证方式,默认会使用 DIGEST-MD5
来进行客户端的认证。
在认证过程中客户端发送:<auth mechanism="DIGEST-MD5" xmlns="urn:ietf:params:xml:ns:xmpp-sasl"></auth>
服务器端,接收到消息后进行处理:
if (mechanisms .contains(mechanism))
{
// 被选的SASL的机制,需要服务器发送一个 challenge
System. out.println( "password------------call---back----"
+ mechanism);
try {
Map<String, String> props = new TreeMap<String,
String>();
props.put(Sasl. QOP, "auth");
if (mechanism.equals("GSSAPI" ))
{
props.put(Sasl. SERVER_AUTH, "TRUE");
}
SaslServer ss = Sasl.createSaslServer(mechanism,
"xmpp",
session.getServerName(), props,
new XMPPCallbackHandler());
// evaluateResponse doesn‘t like null parameter
byte[]
token = new byte[0];
if (doc.getText().length()
> 0) {
// If auth request
includes a value then validate it
token = StringUtils.decodeBase64(doc.getText()
.trim());
if (token
== null) {
token = new byte[0];
}
}
if (mechanism.equals("DIGEST-MD5" ))
{
// RFC2831 (DIGEST-MD5) says the client MAY provide
// an initial response on subsequent
// authentication. Java SASL does not (currently)
// support this and thows an
exception
// if we try. This violates the RFC, so we just
// strip any initial token.
token = new byte[0];
}
byte[]
challenge = ss.evaluateResponse(token);
if (ss.isComplete())
{
System. out.println( "ss------------------has---complete--------" );
authenticationSuccessful(session,
ss.getAuthorizationID(), challenge);
status = Status.authenticated;
} else {
System. out.println( "ss----------not--------has---complete--------" );
// Send the challenge
sendChallenge(session, challenge);
status = Status.needResponse;
}
session.setSessionData( "SaslServer",
ss);
在这里服务器端接收客户端发送的数据信息,并且创建SaslServer ,在创建 SaslServer
server的时候,会在 java.security.Provider 中查询,服务器端设置的进行对认证方式实例化的类,
,在这里继承的 java.security.Provider 的类中,没有定义对
DIGEST-MD5
的具体实现,就采用系统默认的方式来实例化 SaslServer。接下来的过程就是服务器端向客户端发送 challenge 数据包,
<challenge xmlns="urn:ietf:params:xml:ns:xmpp-sasl">cmVhbG09InNtYXJ0Y29vbCIsbm9uY2U9Ind2aGNoTTFsS0dudXY0dFpOUDZxWlp3dG5WUENkTHRDUDdBNkVLcWoiLHFvcD0iYXV0aCIsY2hhcnNldD11dGYtOCxhbGdvcml0aG09bWQ1LXNlc3M=</challenge>
然后客户端发送,response 数据包进行匹配:
<response xmlns="urn:ietf:params:xml:ns:xmpp-sasl">dXNlcm5hbWU9InN5c2FkbWluIixyZWFsbT0ic21hcnRjb29sIixjbm9uY2U9IjM3ZjJmNWUwMTQ3MWQ4ZWNkOWFmZWE1MjQyYWIyODMyMjE3MWNjOWNmNzU3MzczNTA1MGY2MjU1MjE2NTUzOTUiLG5jPTAwMDAwMDAxLHFvcD1hdXRoLGRpZ2VzdC11cmk9InhtcHAvc21hcnRjb29sIixyZXNwb25zZT04ODBlMGU5YmYxZDYyMzI4Mjg5Nzg5MDYwNzAyNTQ5ZCxjaGFyc2V0PXV0Zi04LG5vbmNlPSJ3dmhjaE0xbEtHbnV2NHRaTlA2cVpad3RuVlBDZEx0Q1A3QTZFS3FqIg==</response>
然后也会调用对应的 NameCallBack 和 PasswordCallBack 来验证登录用户的用户名和密码。
当认证成功后,服务端发送:
<success xmlns="urn:ietf:params:xml:ns:xmpp-sasl">cnNwYXV0aD1iNWI4YmQ5Y2NjYjAyYjNiMDcxMDgzNzA5NDJiZDA4Yg==</success>
这样客户端和服务器就认证成功了。
3.anonymous 匿名登录:
客户端在登录时,指明登录的方式,connection.loginAnonymously();
客户端在认证时,发送数据包:<auth mechanism="ANONYMOUS" xmlns="urn:ietf:params:xml:ns:xmpp-sasl"></auth> 指明认证的方式为:ANONYMOUS。
服务器端接收数据后,进行处理:
在处理时:
直接向客户端发送认证成功的数据包: