码迷,mamicode.com
首页 > 编程语言 > 详细

java实现弹出认证输入框(弹出一个带有用户名和密码输入的对话框)

时间:2015-01-22 20:17:39      阅读:6223      评论:0      收藏:0      [点我收藏+]

标签:www-authenticate   http status 401   authorization   验证对话框   

     java如何实现如题的效果,效果图如下:

技术分享

   这个效果让我很好奇,这个效果类型与在ftp服务器上下载需要登录认证的文件时会弹出这个框,在网上查阅了一些资料,不过相关的资料真的很少,找到了一些关键的技术点自己简单的实现了下,下面是一些简单的介绍,来源于http://www.blogbus.com/gaomed-logs/106179012.html

标签: TAG: 用户登录框是怎么做的;路由器的用户登录框是怎么做的;通用的用户登录框;authenticate验证;Authorization验证

/*****************************************************************************

**

**    文档:www-authenticate认证过程简单研究

**

**    创建:http://hi.baidu.com/netee

**

**    日期:2009-10-07

**

**    版权:原创内容,转载请注明出处,并保留本声明信息

**

******************************************************************************/

一、www-authenticate简介

www-authenticate是早期的一种简单的,有效的用户身份认证技术。

很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。

缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到编解码的源码。采用这种认证方式对于普通用户是较安全的,但稍懂TCP/IP协议和HTTP传输协议和验证过程的,破解这种验证用户名和密码是非常简单的。所以其认证技术并不是很安全。

二、认证过程

其基本认证过程如下(以下事例假设服务端开启了www-authenticate认证功能):

1、 首先客户端(一般情况为用户操作的WEB浏览器)会根据用户输入的信息向服务端发送HTTP请求,比如用户要访问www.baidu.com网站,浏览器根据此信息向该网站的服务器发送一个(可能是多个)WEB请求。

2、  服务端收到请求后,首先会解析发送来的数据中是否包含有:

Authorization: Basic YWRtaW46YWRtaW4=”这种格式的数据,如果没有这样的数据,则服务端会发送HTTP信息头“WWW-Authenticate: Basic realm=.””到客户端,要求客户端发送合法的用户名和密码到服务端。(在发送此信息头的同时也附带验证失败时显示的页面提示信息,如:

3、 当客户端(浏览器)收到带有类似“WWW-Authenticate: Basic realm=.””的信息后,将会弹出一个对话框,要求用户输入验证信息。

4、 用户输入用户名:admin 密码:admin后,浏览器将以下面这种格式将数据发送给服务器端:

Authorization: Basic YWRtaW46YWRtaW4=”(以上均不包含双引号)Authorization: Basicwww-authenticate认证的标准HTTP信息头,YWRtaW46YWRtaW4=是经BASE-64加密后的用户名和密码,经解密后的格式为 admin:admin

5、 服务器收到带有用户验证信息的数据后,就会解析数据,将用户名和密码提取出来进行验证其有效性,如果用户名和密码全部合法,则将用户请求的页面数据发送给客户端,浏览器将收到的数据还原为网页内容。如果用户验证信息不合法,则返回错误信息。

三、使用www-authenticate认证的优缺点

优点:使用www-authenticate认证,在服务端做的事情较少,有一部分验证处理都是在客户端的浏览器完成的。像是否需要二次输入用户信息,弹出怎样的用户信息对话框,这些都是浏览器做的事,服务端并不需要再编写用户对话框之类的东西,也不需要判断客户端IP是否是同一个。

缺点:验证方式太简单,容易被破解。

标签: TAG: 用户登录框是怎么做的;路由器的用户登录框是怎么做的;通用的用户登录框;authenticate验证;Authorization验证


     大致看下上面的介绍就行了,本文主要论述用java来实现这个效果,先贴出源码,大家可以自行拷贝:

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import sun.misc.BASE64Decoder;

public class DemoServlet extends HttpServlet {

	
	private static final long serialVersionUID = 887846383437110578L;

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		//获取到的内容是结果base64编码后的字符串,所以这样的认证方式安全性不高
		String authValue = request.getHeader("Authorization"), //获取到的请求头格式类似于 Basic MTIzOjEyMw==
			   username = null,
			   pwd = null;
		if(authValue != null){
			BASE64Decoder decoder = new BASE64Decoder();
			String[] values = new String(decoder.decodeBuffer(authValue.split(" ")[1])).split(":"); //通过解析后的用户名和密码格式例如 123:123
			if(values.length == 2){
				username = values[0];
				pwd = values[1];
			}
		}
		//用户名和密码都不为空时验证成功
		if(username != null && username.length() >0 
				&& username.equals(pwd)){
			response.setContentType("text/html; charset=UTF-8");
			response.getWriter().print("你已经通过验证!");
		}else{ //未通过验证
			response.setStatus(401); //设置好相应的状态
			response.setHeader("WWW-Authenticate", "Basic realm=\"My Application\"");
			
			//设置用户取消验证后的消息提示
			response.setContentType("text/html; charset=UTF-8");
			response.getWriter().print("HTTP STATUS -- 401!");
		}
	}

	public void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		doGet(request, response);
	}

}

先说下上面的技术点,主要是一些http请求和响应的一些操作,通过设置http状态为401,以及设置头WWW-Authenticate,来告诉浏览器,访问需要相关的验证,于是浏览器就弹出这样一个对话框,让用户输入用户名和密码,如果验证退出了,浏览器则会显示请求体的相关内容。


java实现弹出认证输入框(弹出一个带有用户名和密码输入的对话框)

标签:www-authenticate   http status 401   authorization   验证对话框   

原文地址:http://blog.csdn.net/ricciozhang/article/details/43023961

(1)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!