使用 Apache HttpClient 突破 J2EE 站点认证

    原文地址：http://tech.ddvip.com/2008-09/122155711365878.html

    商业性Web站点大多都提供站点认证功能以保护某些受限资源,HTTP协议和J2EE规范对Web站点的认证过程都已经有了详尽的定义,常见浏览器都能根据相应协议提供对应的界面形式帮助用户完成站点的认证过程。但在某些情况下，我们需要编写程序直接获取站点的受保护资源，在这类情况下，就不能利用浏览器给定的界面去完成认证，而需要我们根据不同的协议人工地发送相应请求以完成整个认证过程。本文根据这种需求给出一个基于Apache HttpClient应用包的解决方案。

   

    J2EE站点认证简介

 

    处于安全性的需要和用户授权管理的考虑，常见的J2EE站点对特定的资源都会加入认证/授权机制。例如一个公网上的论坛，一个只对特定用户开放的RSS或Atom Feed，这些资源都必须在确信访问者为被授权的用户时才能向访问者开放。为了实现这样的功能，J2EE站点通常会采取某种站点认证机制，其中常见的有HTTP BASIC认证和J2EE For m-Based 认证。

   

    HTTP BASIC 认证

 

    HTTP BASIC 认证是 HTTP 认证协议(rfc2617) 所定义的标准认证方式。要求客户端上传用户名和密码对。服务器在收到用户名/密码并验证通过后，才将保护资源的内容返回给客户端。它的工作机制如下图：

 

    图1. HTTP BASIC 认证原理

 

    由于是HTTP规范，因而常见的浏览器，如 Internet Explorer，Mozilla Firefox，在 步骤 2 中收到服务器对用户名和密码的请求时会弹出认证对话框，供用户输入用户名/密码。

    图 2. Firefox 在收到步骤 2 中请求时弹出的用户名/密码输入框

   

 

    HTTP BASIC 认证方式使用 base64 编码方式传送用户名和密码， 而base64 仅仅是一种公开的编码格式而非加密措施，因而如果信道本身不适用SSL等安全协议，用户密码较容易被截获。

 

    J2EE Form-Based 认证

 

    Form-Based 认证不同于 HTTP Basic 认证，它是 J2EE 对于认证方式的一种扩展。它使用自定义的 HTML表单 （通常为login.jsp）作为输入用户名和密码的用户界面，最中将用户在表单上填入的用户名/密码提交到服务器。它的工作机制如下：

   

    图 3. Form-Based 认证原理

   

    Form-Based 认证方式在 J2EE 站点中更为常见。这一方面是由于它提供了自定义的用户名密码输入界面；另一方面它的传输也更为安全，通常情况下 login.jsp 会被配置为需要使用 SSL 信道访问，这样在步骤 2、3 中对用户名和密码的传送就被安全信道所保护，而较难被非法截取。