Java NTLM身份验证-它只是一个提示(质询),还是实际进行身份验证?
我有一个(java)web应用程序,并且启用了NTLM身份验证 当浏览器在(windows)intranet环境中显示登录提示时。 我看到的行为是: NTLM提示符似乎根本没有进行任何身份验证,我可以在userid提示符中键入任何随机字符串,它允许用户进入应用程序。提示不会让用户失败Java NTLM身份验证-它只是一个提示(质询),还是实际进行身份验证?,java,security,web-applications,ntlm,Java,Security,Web Applications,Ntlm,我有一个(java)web应用程序,并且启用了NTLM身份验证 当浏览器在(windows)intranet环境中显示登录提示时。 我看到的行为是: NTLM提示符似乎根本没有进行任何身份验证,我可以在userid提示符中键入任何随机字符串,它允许用户进入应用程序。提示不会让用户失败 那么,我需要在服务器端检查什么来确定身份验证是否成功?NTLM auth背后的思想是,登录的用户可以继续连接,而无需再次明确输入用户名和密码。因此,无论应用程序要求您做什么,都是不相关的(正如您自己所看到的),而是
那么,我需要在服务器端检查什么来确定身份验证是否成功?NTLM auth背后的思想是,登录的用户可以继续连接,而无需再次明确输入用户名和密码。因此,无论应用程序要求您做什么,都是不相关的(正如您自己所看到的),而是使用您的系统凭据 已经坏了好几年了——NTLM 2随NT4一起发布,所以希望人们现在已经开始行动了。如果要使用Active Directory登录信息,应改为使用Kerberos。请更新问题,详细说明如何为Java应用程序启用NTLM。该问题中可能存在重复的建议。您必须连接到Active Directory域控制器,并验证浏览器向您发送的类型3响应,这很难-不要尝试自己执行,请重新使用现有库。(即使这样,也真的很烦人。)