Basic 概述

Basic 認證是HTTP 中非常簡單的認證方式，因為簡單，所以不是很安全，不過仍然非常常用。

當一個客戶端向一個需要認證的HTTP服務器進行數據請求時，如果之前沒有認證過，HTTP服務器會返回401狀態碼，要求客戶端輸入用戶名和密碼。用戶輸入用戶名和密碼后，用戶名和密碼會經過BASE64加密附加到請求信息中再次請求HTTP服務器，HTTP服務器會根據請求頭攜帶的認證信息，決定是否認證成功及做出相應的響應。

使用Tomcat進行Basic認證

如果熟悉Tomcat的朋友，肯定知道Tomcat自帶的有個manager項目，訪問這個項目需要Basic認證。

下面我們來給我們自己的項目加Basic認證。

配置項目的 web.xml

示例：

lvyou

home

com.coder4j.web.servlet.HomeServlet

home

/home.do

GuiLin

/*

lvyou

BASIC

guilin photos

index.html

index.jsp

對上面加注釋的部分進行簡單的解釋：

web-resource-name : 給這個認證起個名字

url-pattern : 哪些地址需要認證，/*表示此項目的任意地址都需要認證，/lvyou/*表示/lvyou下的任意地址都需要認證。

role-name : 哪些角色的用戶認證后可以訪問此資源(光認證還不夠喲，必須得是許可的角色喲)，我這里規定必須是lvyou這個角色的用戶才能看我的照片。

auth-method : 認證方式為BASIC認證。

realm-name : 給出的認證提示。

修改 tomcat-users.xml

tomcat 提供了用戶配置文件，我們直接使用就行了。

至此，兩步就完成了Basic 認證，如果想訪問我的照片，就需要輸入tom 和 tomcat才行喲。

當然配置方式不止這一種，網上一搜很多的，有機會再整理一部分，這里僅僅想介紹Basic認證。

Basic 認證的過程

由上面的實戰可以得知，Basic認證的流程很簡單，現概述如下：

1, 客戶端向服務器請求數據，并且請求的數據是需要認證才能看的，并且客戶端目前沒有認證過。

2, 訪問的頁面需要認證，客戶端彈出認證窗口。

認證窗口關閉之前，瀏覽器狀態一直是：pending等待用戶輸入。

點擊 x 或取消，將會出現401狀態碼，響應內容如下：

響應頭中有一句話：

WWW-Authorization: Basic realm="guilin photos"

表示需要認證，提示信息為：guilin photos

3, 刷新頁面，輸入正確的用戶名和密碼，將會進入到我們的項目中

輸入用戶名和密碼的請求信息頭如下：

這是我們的認證信息。加密策略如下：

用戶名和密碼用:合并，將合并后的字符串使用BASE64加密為密文，每次請求時，將密文附于請求頭中，服務器接收此密文，進行解析，判斷是否認證

Java 實現

我們知道了流程，當然可以用代碼來實現。

核心代碼：

HttpSession session = request.getSession();

String user = (String) session.getAttribute("user");

String pass;

if (user == null) {

try {

response.setCharacterEncoding("utf-8");

PrintWriter out = response.getWriter();

String authorization = request.getHeader("Authorization");

if (authorization == null || authorization.equals("")) {

response.setStatus(401);

response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");

out.print("401 認證失敗");

return;

}

String userAndPass = new String(new BASE64Decoder().decodeBuffer(authorization.split(" ")[1]));

if (userAndPass.split(":").length < 2) {

response.setStatus(401);

response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");

out.print("401 認證失敗");

return;

}

user = userAndPass.split(":")[0];

pass = userAndPass.split(":")[1];

if (user.equals("111") && pass.equals("111")) {

session.setAttribute("user", user);

// 跳轉合適的地方

} else {

response.setStatus(401);

response.setHeader("WWW-Authenticate", "Basic realm=\"input username and password\"");

out.print("401 認證失敗");

return;

}

} catch (Exception ex) {

ex.printStackTrace();

}

} else {

// 跳轉合適的地方

}

Basic認證的核心就是響應401狀態碼，告知瀏覽器需要用戶輸入用戶名和密碼，然后就是后臺按照Basic加密的方式進行解密驗證即可。

缺點

HTTP基本認證的目標是提供簡單的用戶驗證功能，其認證過程簡單明了，適合于對安全性要求不高的系統或設備中，如大家所用路由器的配置頁面的認證，幾乎都采取了這種方式。其缺點是沒有靈活可靠的認證策略，另外，BASE64的加密強度非常低，直接能在請求頭中看到，幾乎相當于明文了。

總結

以上是生活随笔為你收集整理的java basic认证_Basic认证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。