HTTPdigestRFC2671规范加密实现（JAVA）_javahttp验证Digestresponcea2一般是什么资源-CSDN文库

共2个文件

java：2个

1星需积分: 49 198 浏览量 2019-04-24 01:04:37 上传评论收藏 4KB ZIP 举报

HTTP Digest认证是一种安全的身份验证机制，它在HTTP协议中用于保护服务器资源免受未经授权的访问。RFC2671是HTTP/1.1扩展中关于Digest认证的规范，旨在改进基本认证的安全性，因为它不直接在请求中传输明文密码。在本教程中，我们将深入探讨如何使用Java实现HTTP Digest认证。 `HttpRequestUtils.java`文件很可能是用于构建和发送HTTP请求的工具类。在HTTP Digest认证中，这个类可能会包含生成和发送带有适当Authorization头的HTTP请求的方法。这些方法可能包括： 1. `sendDigestAuthRequest`: 该方法接收URL、用户名、密码以及HTTP方法（如GET或POST），并生成包含Digest认证信息的HTTP请求。 2. `calculateResponse`: 这个函数用于根据RFC2671计算响应值，它需要使用用户密码、服务器提供的nonce（一次性随机数）、uri、HTTP方法等参数。接下来，`Digests.java`文件可能包含了处理Digest认证所需的各种加密和哈希操作。关键概念包括： - **MD5**: Digest认证通常使用MD5算法对数据进行哈希，以创建一个不可读的表示形式。 - **Nonce**: 服务器返回的一个一次性随机数，用于防止重放攻击。 - **Nonce Count**: 用于记录客户端为同一个Nonce发送的请求次数，防止重放攻击。 - **Realm**: 定义了服务器资源的保护区域，用户必须为该区域提供有效的凭证。 - **Opaque**: 服务器返回的另一个安全字符串，客户端需要在后续请求中返回，但不参与计算。 - **QOP（Quality of Protection）**: 可选的安全增强选项，如'auth'（仅认证）或'auth-int'（认证和消息完整性）。在Java中，实现这些功能可能涉及使用`java.security.MessageDigest`类来处理MD5哈希，以及`java.util.Base64`来编码和解码数据。例如，`Digests.java`可能会包含以下方法： 1. `createMD5Hash`: 用MD5算法对字符串进行哈希。 2. `generateNonce`: 生成随机的Nonce字符串。 3. `calculateHA1`: 根据用户名、密码、 Realm和Nonce计算HA1，这是计算最终响应值的关键步骤。 4. `calculateHA2`: 根据HTTP方法和uri计算HA2。 5. `calculateResponse`: 结合HA1、HA2、Nonce、Nonce Count（如果适用）和QOP（如果适用）计算最终的响应值。理解Digest认证的工作流程也很重要： 1. 客户端发起未经认证的请求。 2. 服务器返回401 Unauthorized响应，包含WWW-Authenticate头，其中包含Nonce、Realm和其他相关信息。 3. 客户端使用这些信息计算响应值，并在新的请求中包含Authorization头。 4. 服务器验证响应值，如果正确，则允许访问，否则返回错误。通过以上解释，我们可以看到，HTTP Digest认证在Java中的实现涉及加密算法、HTTP请求构造以及对RFC2671规范的理解。这为我们提供了一种相对安全的认证方式，可以防止在非安全网络中传输明文密码。

资源推荐

资源详情

资源评论

收起资源包目录

digest.zip （2个子文件）

HttpRequestUtils.java 9KB

Digests.java 5KB

package com.povodo.map.utils; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import com.povodo.map.servlet.StringUtils; import org.apache.commons.codec.binary.Hex; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.PrintWriter; import java.net.HttpURLConnection; import java.net.URL; import java.net.URLConnection; import java.util.List; import java.util.Map; /** * 发起http请求的工具类 * Created by lucky god on 2017/6/2. */ public class HttpRequestUtils { static int nc = 0; /** * 向指定URL发送GET方法的请求 * @param url 发送请求的URL * @param param 请求参数，请求参数应该是 name1=value1&name2=value2 的形式。 * @param username 验证所需的用户名 * @param password 验证所需的密码 * @return URL 所代表远程资源的响应结果 */ public static String sendGet(String url, String param, String username, String password) { StringBuilder result = new StringBuilder(); BufferedReader in = null; try { String wwwAuth = sendGet(url, param); //发起一次授权请求 if (wwwAuth.startsWith("WWW-Authenticate:")) { wwwAuth = wwwAuth.replaceFirst("WWW-Authenticate:", ""); } else { return wwwAuth; } nc ++; String urlNameString = url + (StringUtils.isNotEmpty(param) ? "?" + param : ""); URL realUrl = new URL(urlNameString); // 打开和URL之间的连接 URLConnection connection = realUrl.openConnection(); // 设置通用的请求属性 connection.setRequestProperty("accept", "*/*"); connection.setRequestProperty("connection", "Keep-Alive"); connection.setRequestProperty("user-agent", "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;SV1)"); //授权信息 String authentication = getAuthorization(wwwAuth, realUrl.getPath(), username, password); connection.setRequestProperty("Authorization", authentication); // 建立实际的连接 connection.connect(); in = new BufferedReader(new InputStreamReader(connection.getInputStream())); String line; while ((line = in.readLine()) != null) { result.append(line); } nc = 0; } catch (Exception e) { nc = 0; throw new RuntimeException(e); } finally { try { if (in != null) in.close(); } catch (Exception e2) { e2.printStackTrace(); } } return result.toString(); } public static void main(String[] args) throws IOException { String authorization = getAuthorization("realm=\"realm@easycwmp\",qop=\"auth\"," + "nonce=\"c10c9897f05a9aee2e2c5fdebf03bb5b0001b1ef\",opaque=\"328458fab28345ae87ab3210a8513b14eff452a2\"", "/", "povodo", "povodo"); System.out.println("加密后authorization:"+authorization); } /** * 生成授权信息 * @param authorization 上一次调用返回401的WWW-Authenticate数据 * @param username 用户名 * @param password 密码 * @return 授权后的数据, 应放在http头的Authorization里 * @throws IOException 异常 */ private static String getAuthorization(String authorization, String uri, String username, String password) throws IOException { uri = StringUtils.isEmpty(uri) ? "/" : uri; String temp = authorization.replaceFirst("Digest", "").trim(); String json = "{\"" + temp.replaceAll("=", "\":").replaceAll(",", ",\"") + "}"; JSONObject jsonObject = JSON.parseObject(json); String cnonce = new String(Hex.encodeHex(Digests.generateSalt(8))); //客户端随机数 String ncstr = ("00000000" + nc).substring(Integer.toString(nc).length()); //认证的次数,第一次是1，第二次是2... String algorithm = jsonObject.getString("algorithm"); String response = Digests.http_da_calc_HA1(username, jsonObject.getString("realm"), password, jsonObject.getString("nonce"), ncstr, cnonce, jsonObject.getString("qop"), "GET", uri, algorithm); //组成响应authorization authorization = "Digest username=\"" + username + "\"," + temp; authorization += ",uri=\"" + uri + "\",nc=\"" + ncstr + "\",cnonce=\"" + cnonce + "\",response=\"" + response+"\""; return authorization; } /** * 向指定URL发送GET方法的请求 * * @param url 发送请求的URL * @param param 请求参数，请求参数应该是 name1=value1&name2=value2 的形式。 * @return URL 所代表远程资源的响应结果 */ public static String sendGet(String url, String param) { StringBuilder result = new StringBuilder(); BufferedReader in = null; try { String urlNameString = url + (StringUtils.isNotEmpty(param) ? "?" + param : ""); URL realUrl = new URL(urlNameString); // 打开和URL之间的连接 URLConnection connection = realUrl.openConnection(); // 设置通用的请求属性 connection.setRequestProperty("accept", "*/*"); connection.setRequestProperty("connection", "Keep-Alive"); connection.setRequestProperty("user-agent", "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;SV1)"); connection.connect(); //返回401时需再次用用户名和密码请求 //此情况返回服务器的 WWW-Authenticate 信息 if (((HttpURLConnection) connection).getResponseCode() == 401) { Map<String, List<String>> map = connection.getHeaderFields(); return "WWW-Authenticate:" + map.get("WWW-Authenticate").get(0); } in = new BufferedReader(new InputStreamReader(connection.getInputStream())); String line; while ((line = in.readLine()) != null) { result.append(line); } } catch (Exception e) { throw new RuntimeException("get请求发送失败",e); } // 使用finally块来关闭输入流 finally { try { if (in != null) in.close(); } catch (Exception e2) { e2.printStackTrace(); } } return result.toString(); } /** * 向指定 URL 发送POST方法的请求 * @param url 发送请求的 URL * @param param 请求参数，请求参数应该是 name1=value1&name2=value2 的形式。 * @return 所代表远程资源的响应结果 */ public static String sendPost(String url, String param) { PrintWriter out = null; BufferedReader in = null; String result = ""; try { URL realUrl = new URL(url); // 打开和URL之间的连接 URLConnection conn = realUrl.openConnection(); // 设置通用的请求属性 conn.setRequestProperty("accept", "*/*"); conn.setRequestProperty("connection", "Keep-Alive"); conn.setRequestProperty("user-agent", "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;SV1)"); // 发送POST请求必须设置如下两行 conn.setDoOutput(true); conn.setDoInput(true); // 获取URLConnection对象对应的输�

评论收藏

内容反馈