Web应用程序中的NTLM身份验证(java)
在我的web应用程序中,我使用以下筛选器启用NTLM身份验证 我收到windows浏览器身份验证提示。 它工作得很好。除了-我无法判断身份验证是成功还是失败*两种情况下都没有错误。*在每种情况下都会打印用户名(正确或其他)、工作站等Web应用程序中的NTLM身份验证(java),java,authentication,web-applications,ntlm,Java,Authentication,Web Applications,Ntlm,在我的web应用程序中,我使用以下筛选器启用NTLM身份验证 我收到windows浏览器身份验证提示。 它工作得很好。除了-我无法判断身份验证是成功还是失败*两种情况下都没有错误。*在每种情况下都会打印用户名(正确或其他)、工作站等 package com.test; import java.io.IOException; import java.io.PrintStream; import javax.servlet.Filter; import javax.servlet.FilterCha
package com.test;
import java.io.IOException;
import java.io.PrintStream;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import jcifs.ntlmssp.Type3Message;
import com.sun.xml.internal.ws.util.StringUtils;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;
public class NTLMUserFilter implements Filter {
private FilterConfig filterConfig = null;
private String userDomain = null;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
String username = null;
//first, get the user agent
String useragent = request.getHeader("user-agent");
//if you're using IE, you can continue
if ((useragent.indexOf("MSIE") > -1)){
//Always do the ntlm check (for IE POST back)
try{
String auth = request.getHeader("Authorization");
if (auth == null)
{
response.setHeader("WWW-Authenticate", "NTLM");
response.setStatus(response.SC_UNAUTHORIZED);
response.setContentLength(0) ;
response.flushBuffer();
return;
}
if (auth.startsWith("NTLM "))
{
byte[] msg = new sun.misc.BASE64Decoder().decodeBuffer(auth.substring(5));
int off = 0, length, offset;
if (msg[8] == 1)
{
byte z = 0;
byte[] msg1 = {(byte)'N', (byte)'T', (byte)'L', (byte)'M', (byte)'S', (byte)'S', (byte)'P', z,(byte)2, z, z, z, z, z, z, z,(byte)40, z, z, z, (byte)1, (byte)130, z, z,z, (byte)2, (byte)2, (byte)2, z, z, z, z, z, z, z, z, z, z, z, z};
response.setHeader("WWW-Authenticate", "NTLM " + new sun.misc.BASE64Encoder().encodeBuffer(msg1));
response.setStatus(response.SC_UNAUTHORIZED);
response.setContentLength(0) ;
response.flushBuffer();
return;
}
else if (msg[8] == 3)
{
//Did Authentication Succeed? All this is always printed.
Type3Message type3 = new Type3Message(msg);
System.out.println("osUser: " + type3.getUser());
System.out.println("osRemoteHost: + " + type3.getWorkstation());
System.out.println("osDomain: " + type3.getDomain());
}
}
}catch(Exception e){
System.out.println(e) ;
}
//System.out.println("Suc);
}
try {
chain.doFilter(req, res);
} catch (IOException e) {
System.out.println(e);
} catch (ServletException e) {
System.out.println(e);
}
}
public void destroy()
{
this.filterConfig = null;
}
}
web.xml很简单:
NTLM滤波器
com.test.NTLMUserFilter
NTLM滤波器
/*
您收到的是Type3消息,但除了打印出详细信息外,您什么也没做。此时您需要验证客户端的响应,并发送200(如果授权)或401(如果未授权) 然而,您传递的类型1消息是由静态字节组成的,虽然它会诱导客户端发回响应,但基本上是没有意义的。您自己实现一个完整的NTLM身份验证堆栈并非不可能,但是您所拥有的代码将无法工作
您可以调查一个,或者(假设您在Windows上)可以调用必要的身份验证函数,如JNI。正如Edward所说,仅从类型3(响应)NTLM消息中提取名称并不能说明生成它的客户端是否有权这样做 NTLM不像Kerberos,在Kerberos中有一个签名令牌,服务可以自己验证;每次都必须连接到域控制器,以询问令牌是否合法。实现MSRPC连接以检查NTLM令牌确实是一项艰巨的工作 在过去,您可以使用
JCIFS.smb.SmbSession
在JCIFS中执行此操作,而JCIFS.http.NtlmHttpFilter
将为您执行此操作。然而,这只适用于NTLMv1,它陈旧、不安全,越来越不可能用于任何用途。(我相信上面链接的“ntlm java”也只是NTLMv1。)
试试这个项目
HTTP上的NTLM已经够麻烦的了,通常最好使用任何其他可用的身份验证方法。您是否尝试过捕获成功登录和失败登录的消息,并将它们并排比较?Edward,当您说:“此时您需要验证客户端的响应”-你这是什么意思。我该如何证实这一点。@Edward-你能帮我回答我的问题吗-你能帮我回答我的问题吗-
<filter>
<filter-name>ntlmFilter</filter-name>
<filter-class>
com.test.NTLMUserFilter
</filter-class>
</filter>
<!-- Filter mapping configuration -->
<filter-mapping>
<filter-name>ntlmFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>