Http协议WWW-Authenticate

xinyangwjb

浏览: 81767 次
性别:
来自: 信阳

最近访客更多访客>>

306050149

lp164042318

liang1995

a1733687480

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

java基础

HTTP协议有一个叫WWW-Authenticate的头字段，可以用于实现登录验证。它是在RFC 2617中定义的。
当服务器接收到一个request，并在实现下面的代码：

http_response.addHeader('WWW-Authenticate', 'Basic realm...');
http_response.setContentType(MimeTypeConstants.textHtml);
http_response.setCharacterEncoding('UTF-8');
http_response.setStatus( HttpServletResponse.SC_UNAUTHORIZED);

final PrintWriter pw = http_response.getWriter();
pw.write("...");
pw.flush();
http_response.flushBuffer();

浏览器接收的并不是这个请求的response，也就是说这个请求并没有结束，而是接收了一个新的request，表现就是浏览器会直接弹出一个验证窗口，只有我们在这个验证窗口填入正确的验证信息，再去后台请求，返回的才是上一个request的response。
而当我们我们将Basic随便改成自己定义的key

http_response.addHeader('WWW-Authenticate', '随便自定义的key realm...');
http_response.setContentType(MimeTypeConstants.textHtml);
http_response.setCharacterEncoding('UTF-8');
http_response.setStatus( HttpServletResponse.SC_UNAUTHORIZED);

final PrintWriter pw = http_response.getWriter();
pw.write("...");
pw.flush();
http_response.flushBuffer();

浏览器接收到的是一个401错误的response，并不会自动弹出窗口。

而关于弹出的验证窗口的request，则是前面后台包装好的Basic类型，所以这个验证窗口再次发出的请求的内容如下

Authorization: Basic base64编码过的登录信息

所以在后台，我们还得再加上对Base64的反编译。

String auth = http_request.getHeader('Authorization')
String authType = auth.substring(0,auth.indexOf(' '));
if(authType.equalsIgnoreCase('base')){
Base64.decode(auth.substring( auth.indexOf(' ')+1));
}

当然，我们如果想让自己在js中写的前台验证请求也模拟WWW-Authenticate，我们可以再js中做以下模拟：

beforeSend：function(re){
   re.setRequestHeader("Authorization", "Basic Base64编码过的登录信息")
}
或
$ajaxSetup({
headers:{
       'Authorization' : 'Basic Base64.encode(usdid:psd)';
}
})

则向后台的验证请求与前面弹出窗口的请求就一样了，
然后在后台调用上面写的反编译就可以了。

当然，现在流行http请求而不是https请求，最好不要用Basic而是Digest类型的验证模式。

分享到：

javascript作用域链的灵活运用1 | Js闭包理解、运用

2013-03-06 15:55
浏览 7653
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论