atitit.身份认证解决方案attilax总结

This is a premature infants from China, 100 days, and had liver failure, cholestasis and other diseases, at present in Shanghai treatment, but need to large medical expenses. He needs our help, and look forward to more people to help him.
这是一个来自中国的软件开发界，得了面临开发效率等危机，目前亟待治疗，但是需要大力帮忙。兄弟们世界需要我们的帮助，还有转发一下，让更多的人帮到。

1.1. 身份认证

有一些网址或者服务需要用户的身份信息，因此需要随时知道这些消息，但是肯定不能每次都让用户输入用户密码，因此关于认证就有下面几种方式：

1.2. basic认证

basic认证是另一个常用的认证方式，与表单认证不同的是，basic认证常用于无状态客户端的验证，比如HttpInvoker或者Web Service的认证，这种场景的特点是客户端每次访问应用时，都在请求头部携带认证信息，一般就是用户名和密码，因为basic认证会传递明文，所以最好使用https传输数据。

asic认证不使用session

作者:: ★(attilax)>>> 绰号:老哇的爪子（全名：：Attilax Akbar Al Rapanui 阿提拉克斯阿克巴阿尔拉帕努伊）汉字名：艾龙， EMAIL:1466519819@qq.com

转载请注明来源： http://www.cnblogs.com/attilax/

1.2.1. 编程实现basic客户端

下面我们来示范一下如何使用basic认证。假设我们在basic.jsp中需要远程调用http://localhost:8080/ch104/admin.jsp的内容。这时为了能够通过Spring Security的权限检测，我们需要在请求的头部加上basic所需的认证信息。

String username = "admin";

String password = "admin";

byte[] token = (username + ":" + password).getBytes("utf-8");

String authorization = "Basic " + new String(Base64.encodeBase64(token), "utf-8");

URL url = new URL("http://localhost:8080/ch104/admin.jsp");

HttpURLConnection conn = (HttpURLConnection) url.openConnection();

conn.setRequestProperty("Authorization", authorization);

我们先将用户名和密码拼接成一个字符串，两者之间使用“:”分隔。

然后使用commons-codec的Base64将这个字符串加密。在进行basic认证的时候Spring Security会使用commons-codec把这段字符串反转成用户名和密码，再进行认证操作。

下一步为加密后得到的字符串添加一个前缀"Basic "，这样Spring Security就可以通过这个判断客户端是否使用了basic认证。

将上面生成的字符串设置到请求头部，名称为“Authorization”。Spring Security会在认证时，获取头部信息进行判断。

有关basic代码可以在/ch104/basic.jsp找到，可以运行ch104，然后访问http://localhost:8080/ch104/basic.jsp。它会使用上述的代码，通过Spring Security的认证，成功访问到admin.jsp的信息

1.3. digest认证机制

是基于MD5算法的LINUX安全认证机制。会比较用户端传送的杂凑值与使用者密码的杂凑值，以认证用户端。但由于此机制必须读取使用者密码，因此所有想透过 DIGEST-MD5 进行认证的使用者，在目录中都必须要有 {CLEAR} 密码。将 {CLEAR} 密码储存到目录时，透过 ACI 适当地限制密码值的存取权。此外，还必须如为属性值加密中所述，在尾码中配置属性加密。

http协议之digest(摘要)认证 - jszj的专栏 - 博客频道 - CSDN.NET.html

1.4. SSL认证

SSL认证是指客户端到服务器端的认证。主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。

1.5. FormBase认证，也就是表单认证

在这里主要说一下FormBase认证，也就是表单认证。

1.5.0.1. 使用Cookie来管理Session

参考

第 14 章 basic认证.html

HTTP使用BASIC认证的原理及实现方法-atlantisholic-ITPUB博客.html