12

我正在尝试使用 Apache/Jakarta HttpClient 4.1.1 使用给定的凭据连接到任意网页。为了测试这一点,我在我的开发机器上安装了一个最小的 IIS 7.5,一次只有一种身份验证模式处于活动状态。基本身份验证工作正常,但每当我尝试登录时,Digest 和 NTLM 都会返回 401 错误消息。这是我的代码:

    DefaultHttpClient httpclient = new DefaultHttpClient();
    HttpContext localContext = new BasicHttpContext();
    HttpGet httpget = new HttpGet("http://localhost/"); 
    CredentialsProvider credsProvider = new BasicCredentialsProvider();
    credsProvider.setCredentials(AuthScope.ANY,
            new NTCredentials("user", "password", "", "localhost"));
    if (!new File(System.getenv("windir") + "\\krb5.ini").exists()) {
        List<String> authtypes = new ArrayList<String>();
        authtypes.add(AuthPolicy.NTLM);
        authtypes.add(AuthPolicy.DIGEST);
        authtypes.add(AuthPolicy.BASIC);
        httpclient.getParams().setParameter(AuthPNames.PROXY_AUTH_PREF,
                authtypes);
        httpclient.getParams().setParameter(AuthPNames.TARGET_AUTH_PREF,
                authtypes);
    }
    localContext.setAttribute(ClientContext.CREDS_PROVIDER, credsProvider);
    HttpResponse response = httpclient.execute(httpget, localContext);
    System.out.println("Response code: " + response.getStatusLine());

我在 Fiddler 中注意到的一件事是 Firefox 与 HttpClient 发送的哈希值不同,这让我认为 IIS 7.5 可能期望比 HttpClient 提供的哈希值更强?有任何想法吗?如果我能验证这是否适用于 NTLM,那就太好了。文摘也不错,但如果有必要,我可以不用它。

4

6 回答 6

10

我不是该主题的专家,但在使用 http 组件进行 NTLM 身份验证期间,我发现客户端需要 3 次尝试才能连接到我的 NTML 端点。这里对 Spnego 进行了描述,但对于 NTLM 身份验证有点不同。

对于 NTLM,客户端将在第一次尝试中发出请求,Target auth state: UNCHALLENGED并且 Web 服务器返回 HTTP 401 状态和标头:WWW-Authenticate: NTLM

客户端将检查配置的身份验证方案,NTLM 应在客户端代码中配置。

第二次尝试,客户端将使用 发出请求Target auth state: CHALLENGED,并将发送带有以 base64 格式编码的令牌的授权标头:Authorization: NTLM TlRMTVNTUAABAAAAAYIIogAAAAAoAAAAAAAAACgAAAAFASgKAAAADw== 服务器再次返回 HTTP 401 状态,但标头:WWW-Authenticate: NTLM现在填充了编码信息。

第三次尝试客户端将使用来自标头的信息,并将使用包含服务器更多信息的授权标头发WWW-Authenticate: NTLM 出最终请求。Target auth state: HANDSHAKEAuthorization: NTLM

就我而言,在那之后我收到了一个HTTP/1.1 200 OK

为了避免所有这些,在第 4.7.1 章的每个请求文档中都声明必须将相同的执行令牌用于逻辑相关的请求。对我来说它没有用。

@PostConstruct我的代码:我在EJB的方法中初始化客户端一次

        PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager();
        cm.setMaxTotal(18);
        cm.setDefaultMaxPerRoute(6);

        RequestConfig requestConfig = RequestConfig.custom()
        .setSocketTimeout(30000)
        .setConnectTimeout(30000)
        .setTargetPreferredAuthSchemes(Arrays.asList(AuthSchemes.NTLM))
        .setProxyPreferredAuthSchemes(Arrays.asList(AuthSchemes.BASIC))
        .build();

        CredentialsProvider credentialsProvider = new BasicCredentialsProvider();
        credentialsProvider.setCredentials(AuthScope.ANY,
                new NTCredentials(userName, password, hostName, domainName));

        // Finally we instantiate the client. Client is a thread safe object and can be used by several threads at the same time. 
        // Client can be used for several request. The life span of the client must be equal to the life span of this EJB.
         this.httpclient = HttpClients.custom()
        .setConnectionManager(cm)
        .setDefaultCredentialsProvider(credentialsProvider)
        .setDefaultRequestConfig(requestConfig)
        .build();

在每个请求中使用相同的客户端实例:

            HttpPost httppost = new HttpPost(endPoint.trim());            
            // HttpClientContext is not thread safe, one per request must be created.
            HttpClientContext context = HttpClientContext.create();    
            response = this.httpclient.execute(httppost, context);

在我的 EJB 的 @PreDestroy 方法中,释放资源并将连接返回给连接管理器:

             this.httpclient.close();
于 2014-03-04T13:58:47.587 回答
6

我对 HttpClient4.1.X 有同样的问题在将它升级到 HttpClient 4.2.6 之后,它像魅力一样醒来。下面是我的代码

DefaultHttpClient httpclient = new DefaultHttpClient();
        HttpContext localContext = new BasicHttpContext();
        HttpGet httpget = new HttpGet("url"); 
        CredentialsProvider credsProvider = new BasicCredentialsProvider();
        credsProvider.setCredentials(AuthScope.ANY,
                new NTCredentials("username", "pwd", "", "domain"));
                    List<String> authtypes = new ArrayList<String>();
            authtypes.add(AuthPolicy.NTLM);      
            httpclient.getParams().setParameter(AuthPNames.TARGET_AUTH_PREF,authtypes);

        localContext.setAttribute(ClientContext.CREDS_PROVIDER, credsProvider);
        HttpResponse response = httpclient.execute(httpget, localContext);
        HttpEntity entity=response.getEntity();
于 2013-11-18T12:31:24.330 回答
4

我发现解决此类情况的最简单方法是Wireshark。这是一把非常大的锤子,但它真的会告诉你一切。安装它,确保您的服务器在另一台机器上(不适用于 Localhost)并开始记录。

运行失败的请求,运行一个有效的请求。然后,通过http过滤(只要把http放在filter字段中),找到第一个GET请求,找到另一个GET请求并进行比较。识别有意义的差异,您现在有特定的关键字或问题要搜索代码/网络。如果还不够,请缩小到第一个 TCP 会话并查看完整的请求/响应。与另一个相同。

我用这种方法解决了难以置信的问题。而且 Wireshark 是非常有用的了解工具。众多超高级功能,让您的网络调试更轻松。

您也可以在客户端或服务器端运行它。无论什么都会向您显示两个请求以允许您进行比较。

于 2011-05-10T20:43:54.590 回答
3

我对 HttpClient 4.1.2 也有类似的问题。对我来说,它是通过恢复到 HttpClient 4.0.3 来解决的。无论是使用内置实现还是使用 JCIFS,我都无法让 NTLM 与 4.1.2 一起工作。

于 2011-10-22T00:30:04.607 回答
2

更新我们的应用程序以使用 httpcomponents-client-4.5.1 中的 jar 为我解决了这个问题。

于 2016-04-22T20:12:49.457 回答
1

我终于弄明白了。摘要式身份验证要求如果您在请求中使用完整 URL,则代理也需要使用完整 URL。我没有在示例中留下代理代码,但它被定向到“localhost”,这导致它失败。将其更改为 127.0.0.1 使其工作。

于 2011-05-25T20:48:11.497 回答