21

我编写了以下 HttpClient 代码,它没有导致将Authorization标头发送到服务器:

public static void main(String[] args) {
    var client = HttpClient.newBuilder()
            .authenticator(new Authenticator() {
                @Override
                protected PasswordAuthentication getPasswordAuthentication() {
                    return new PasswordAuthentication("username", "password".toCharArray());
                }
            })
            .version(HttpClient.Version.HTTP_1_1)
            .build();
    var request = HttpRequest.newBuilder()
            .uri("https://service-that-needs-auth.example/")
            .build();
    client.sendAsync(request, HttpResponse.BodyHandlers.ofString())
            .thenApply(HttpResponse::body)
            .thenAccept(System.out::println)
            .join();
}

我从正在调用的服务中收到 HTTP 401 错误。就我而言,它是 Atlassian Jira Cloud API。

我已经确认getPasswordAuthentication()HttpClient 没有调用我的方法。

为什么它不起作用,我应该怎么做?

4

1 回答 1

46

我调用的服务(在本例中为 Atlassian 的 Jira Cloud API)同时支持基本身份验证和 OAuth 身份验证。我试图使用 HTTP Basic,但它向 OAuth 发送了一个身份验证挑战。

从当前的 JDK 11 开始,HttpClient 不会发送基本凭据,直到使用来自服务器的 WWW-Authenticate 标头对它们进行质询。此外,它理解的唯一挑战类型是基本身份验证。如果您想看一下,相关的 JDK 代码在这里(包含 TODO 以支持更多基本身份验证)。

与此同时,我的补救措施是绕过 HttpClient 的身份验证 API,并自己创建和发送 Basic Authorization 标头:

public static void main(String[] args) {
    var client = HttpClient.newBuilder()
            .version(HttpClient.Version.HTTP_1_1)
            .build();
    var request = HttpRequest.newBuilder()
            .uri(new URI("https://service-that-needs-auth.example/"))
            .header("Authorization", basicAuth("username", "password"))
            .build();
    client.sendAsync(request, HttpResponse.BodyHandlers.ofString())
            .thenApply(HttpResponse::body)
            .thenAccept(System.out::println)
            .join();
}

private static String basicAuth(String username, String password) {
    return "Basic " + Base64.getEncoder().encodeToString((username + ":" + password).getBytes());
}
于 2019-01-16T00:50:48.447 回答