2

我正在使用以下过滤器在我的 Web 应用程序中启用 NTLM 身份验证。

我收到 Windows 浏览器身份验证提示。它工作正常。除了 -我无法判断身份验证是成功还是失败!!!*两种情况都没有错误。* 在每种情况下,都会打印用户名(正确或其他)、工作站等。

package com.test;
import java.io.IOException;
import java.io.PrintStream;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import jcifs.ntlmssp.Type3Message;
import com.sun.xml.internal.ws.util.StringUtils;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;
public class NTLMUserFilter implements Filter {
    private FilterConfig filterConfig = null;
    private String userDomain = null;
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }
    public void doFilter(ServletRequest req, ServletResponse res,
            FilterChain chain) {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        String username = null;
        //first, get the user agent
        String useragent = request.getHeader("user-agent");
        //if you're using IE, you can continue
        if ((useragent.indexOf("MSIE") > -1)){
            //Always do the ntlm check (for IE POST back)
            try{
                String auth = request.getHeader("Authorization");
                if (auth == null)
                {
                  response.setHeader("WWW-Authenticate", "NTLM");
                  response.setStatus(response.SC_UNAUTHORIZED);
                  response.setContentLength(0) ;
                  response.flushBuffer();
                  return;
                }
                if (auth.startsWith("NTLM "))
                {
                  byte[] msg = new sun.misc.BASE64Decoder().decodeBuffer(auth.substring(5));
                  int off = 0, length, offset;
                  if (msg[8] == 1)
                  {
                    byte z = 0;
                    byte[] msg1 = {(byte)'N', (byte)'T', (byte)'L', (byte)'M', (byte)'S', (byte)'S', (byte)'P', z,(byte)2, z, z, z, z, z, z, z,(byte)40, z, z, z, (byte)1, (byte)130, z, z,z, (byte)2, (byte)2, (byte)2, z, z, z, z, z, z, z, z, z, z, z, z};
                    response.setHeader("WWW-Authenticate", "NTLM " + new sun.misc.BASE64Encoder().encodeBuffer(msg1));
                    response.setStatus(response.SC_UNAUTHORIZED);
                    response.setContentLength(0) ;
                    response.flushBuffer();
                    return;
                  }
                  else if (msg[8] == 3)
                  {
                      //Did Authentication Succeed? All this is always printed.

                      Type3Message type3 = new Type3Message(msg);

                      System.out.println("osUser: " + type3.getUser());
                      System.out.println("osRemoteHost: + " + type3.getWorkstation());
                      System.out.println("osDomain: " + type3.getDomain());

                  }
                }
            }catch(Exception e){
                System.out.println(e) ;
            }
            //System.out.println("Suc);


            }

        try {
            chain.doFilter(req, res);
        } catch (IOException e) {
            System.out.println(e);
        } catch (ServletException e) {
            System.out.println(e);
        }
    }
public void destroy()
   {
     this.filterConfig = null;
   }
}

web.xml 很简单:

<filter>
    <filter-name>ntlmFilter</filter-name>
    <filter-class>
        com.test.NTLMUserFilter
    </filter-class>
</filter>

<!-- Filter mapping configuration   -->

<filter-mapping>
    <filter-name>ntlmFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

4

2 回答 2

3

正如爱德华所说,仅从类型 3(响应)NTLM 消息中提取名称并不能说明生成它的客户端是否有权这样做。

NTLM 不像 Kerberos,后者有一个服务可以自行验证的签名令牌;您每次都必须连接到域控制器以询问令牌是否合法。实现 MSRPC 连接以检查 NTLM 令牌确实是一项艰巨的工作。

在过去,您可以在 JCIFS 中使用 a 来执行此操作jcifs.smb.SmbSession,并且jcifs.http.NtlmHttpFilter会为您执行此操作。然而,这只适用于 NTLMv1,它是旧的、不安全的,并且越来越不可能用于任何事情。(我相信上面链接的 'ntlm-java' 也是 NTLMv1-only。)

试试ntlmv2auth项目。

NTLM-over-HTTP 已经足够让人头疼了,通常最好使用任何其他可用的身份验证方法。

于 2012-08-08T15:26:51.517 回答
2

您收到 Type 3 消息,但除了打印出详细信息外,您没有对它做任何事情。此时您需要验证客户端的响应并发送 200(如果授权)或 401(如果没有)。

但是,您传递的 Type 1 消息由静态字节组成,并且 - 虽然它会诱使客户端发回响应 - 几乎没有意义。自己实现完整的 NTLM 身份验证堆栈并非不可能,但您拥有的代码根本无法工作。

您可以调查一个NTLM Solution for Java,或者(假设您在 Windows 上)您可以调用必要的身份验证函数AcceptSecurityContext,如 JNI。

于 2012-08-07T09:24:06.830 回答