8

为什么需要抢先式身份验证?

System.setProperty("httpclient.authentication.preemptive", "true");

我用java编写了Web服务访问客户端程序。我们在调用对象中设置用户名和密码的地方,效果很好。

最近,我们的服务提供商在他们身边进行了一些更改,之后他们在 Web 服务调用中没有收到用户名和密码,并且由于他们没有收到用户名和密码,所以我们无法连接到他们的(提供商)服务。

然后我做了谷歌搜索,发现了关于抢先身份验证的信息。在调用 Web 服务时,我们将 "httpclient.authentication.preemptive" 设置为 "true" - System.setProperty("httpclient.authentication.preemptive", "true"); ,然后我们就可以从我们的服务提供商那里收到响应。

当我们删除 System.setProperty("httpclient.authentication.preemptive", "true"); 线然后我们无法连接到他们的服务。

4

2 回答 2

17

以下是常规身份验证的工作原理(也称为抢先身份验证 - 例如 Curl 是如何做到的):

以下是非抢先式身份验证的工作原理(例如 Apache 的 HttpClient 是如何做到的):

  • 用户指示客户端向http://user:pass@example.com发出请求
  • 客户端在没有身份验证的情况下发出请求
  • 服务器以 401 和如下标头响应:WWW-Authenticate: Basic realm="Default Realm"
  • 客户端发出第二个请求,其标头如下:Authorization: Basic dXNlcjpwYXNz
  • 服务器验证用户并以 200 响应

为什么要使用第二种方法?它确保只有需要身份验证的服务器才能获得您的密码。但这确实意味着服务器必须以正确的方式响应(WWW-Authenticate标头)。也许这就是您遇到的问题,也是您必须覆盖 HTTP 客户端以强制抢先式身份验证的原因。

(如果您想更好地了解客户端和服务器之间的实际情况,我建议使用 Wireshark。您可以在此处阅读 Apache 的 HTTP 客户端关于此主题的文档:http: //hc.apache.org/ httpclient-3.x/authentication.html )

于 2018-07-09T08:01:09.833 回答
1

当我们在 client-config.wsdd 文件中将transport pivot=" java:org.apache.axis.transport.http.HTTPSender "更改为transport pivot=" java:org.apache.axis.transport.http.CommonsHTTPSender " 时。这个问题在没有设置 System.setProperty("httpclient.authentication.preemptive", "true"); 的情况下得到解决 .

客户端配置.wsdd -

<?xml version="1.0" encoding="UTF-8"?> 
<deployment 
    name="commonsHTTPConfig" 
    xmlns="http://xml.apache.org/axis/wsdd/" 
    xmlns:java="http://xml.apache.org/axis/wsdd/providers/java">

  <!-- use CommonsHTTPSender instead of the default HTTPSender -->
  <transport name="http" pivot="java:org.apache.axis.transport.http.CommonsHTTPSender" />  

  <transport name="local" pivot = "java:org.apache.axis.transport.local.LocalSender" /> 
  <transport name="java" pivot="java:org.apache.axis.transport.java.JavaSender" /> 
</deployment>
于 2012-02-27T14:06:53.927 回答