概述

Java 語(yǔ)言從誕生的那天起，就非常注重網(wǎng)絡(luò)編程方面的應(yīng)用。隨著互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展，Java 的基礎(chǔ)類庫(kù)也不斷地對(duì)網(wǎng)絡(luò)相關(guān)的 API 進(jìn)行加強(qiáng)和擴(kuò)展。在 Java SE 6 當(dāng)中，圍繞著 HTTP 協(xié)議出現(xiàn)了很多實(shí)用的新特性：NTLM 認(rèn)證提供了一種 Window 平臺(tái)下較為安全的認(rèn)證機(jī)制;JDK 當(dāng)中提供了一個(gè)輕量級(jí)的 HTTP 服務(wù)器;提供了較為完善的 HTTP Cookie 管理功能;更為實(shí)用的 NetworkInterface;DNS 域名的國(guó)際化支持等等。

NTLM 認(rèn)證

不可避免，網(wǎng)絡(luò)中有很多資源是被安全域保護(hù)起來(lái)的。訪問(wèn)這些資源需要對(duì)用戶的身份進(jìn)行認(rèn)證。下面是一個(gè)簡(jiǎn)單的例子：

以下是引用片段：

import java.net.*;

import java.io.*;

public class Test {

public static void main(String[] args) throws Exception {

URL url = new URL("http://PROTECTED.com");

URLConnection connection = url.openConnection();

InputStream in = connection.getInputStream();

byte[] data = new byte[1024];

while(in.read(data)>0)

{

//do something for data

}

in.close();

}

}

當(dāng) Java 程序試圖從一個(gè)要求認(rèn)證的網(wǎng)站讀取信息的時(shí)候，也就是說(shuō)，從聯(lián)系于 http://Protected.com 這個(gè) URLConnection 的 InputStream 中 read 數(shù)據(jù)時(shí)，會(huì)引發(fā) FileNotFoundException。盡管筆者認(rèn)為，這個(gè) Exception 的類型與實(shí)際錯(cuò)誤發(fā)生的原因?qū)嵲谑窍嗳ド踹h(yuǎn);但這個(gè)錯(cuò)誤確實(shí)是由網(wǎng)絡(luò)認(rèn)證失敗所導(dǎo)致的。

要解決這個(gè)問(wèn)題，有兩種方法：

其一，是給 URLConnection 設(shè)定一個(gè)“Authentication”屬性：

以下是引用片段：

String credit = USERNAME + ":" + PASSWORD;

String encoding = new sun.misc.BASE64Encoder().encode (credit.getBytes());

connection.setRequestProperty ("Authorization", "Basic " + encoding);

這里假設(shè) http://PROTECTED.COM 使用了基本(Basic)認(rèn)證類型。

從上面的例子，我們可以看出，設(shè)定 Authentication 屬性還是比較復(fù)雜的：用戶必須了解認(rèn)證方式的細(xì)節(jié)，才能將用戶名/密碼以一定的規(guī)范給出，然后用特定的編碼方式加以編碼。Java 類庫(kù)有沒(méi)有提供一個(gè)封裝了認(rèn)證細(xì)節(jié)，只需要給出用戶名/密碼的工具呢?

這就是我們要介紹的另一種方法，使用 java.net.Authentication 類。

每當(dāng)遇到網(wǎng)站需要認(rèn)證的時(shí)候，HttpURLConnection 都會(huì)向 Authentication 類詢問(wèn)用戶名和密碼。

Authentication 類不會(huì)知道究竟用戶應(yīng)該使用哪個(gè) username/password 那么用戶如何向 Authentication 類提供自己的用戶名和密碼呢?

提供一個(gè)繼承于 Authentication 的類，實(shí)現(xiàn) getPasswordAuthentication 方法，在 PasswordAuthentication 中給出用戶名和密碼：

以下是引用片段：

class DefaultAuthenticator extends Authenticator {

public PasswordAuthentication getPasswordAuthentication () {

return new PasswordAuthentication ("USER", "PASSWORD".toCharArray());

}

}

然后，將它設(shè)為默認(rèn)的(全局)Authentication:

以下是引用片段：

Authenticator.setDefault (new DefaultAuthenticator());

那么，不同的網(wǎng)站需要不同的用戶名/密碼又怎么辦呢?

Authentication 提供了關(guān)于認(rèn)證發(fā)起者的足夠多的信息，讓繼承類根據(jù)這些信息進(jìn)行判斷，在 getPasswordAuthentication 方法中給出了不同的認(rèn)證信息：

以下是引用片段：

getRequestingHost()

getRequestingPort()

getRequestingPrompt()

getRequestingProtocol()

getRequestingScheme()

getRequestingURL()

getRequestingSite()

getRequestorType()

另一件關(guān)于 Authentication 的重要問(wèn)題是認(rèn)證類型。不同的認(rèn)證類型需要 Authentication 執(zhí)行不同的協(xié)議。至 Java SE 6.0 為止，Authentication 支持的認(rèn)證方式有：

以下是引用片段：

HTTP Basic authentication

HTTP Digest authentication

NTLM

Http SPNEGO Negotiate

Kerberos

NTLMNTLM 是 NT LAN Manager 的縮寫(xiě)。早期的 SMB 協(xié)議在網(wǎng)絡(luò)上明文傳輸口令，這是很不安全的。微軟隨后提出了 WindowsNT 挑戰(zhàn)/響應(yīng)驗(yàn)證機(jī)制，即 NTLM。

NTLM 協(xié)議是這樣的：

1.客戶端首先將用戶的密碼加密成為密碼散列;

2.客戶端向服務(wù)器發(fā)送自己的用戶名，這個(gè)用戶名是用明文直接傳輸?shù)?

3.服務(wù)器產(chǎn)生一個(gè) 16 位的隨機(jī)數(shù)字發(fā)送給客戶端，作為一個(gè) challenge(挑戰(zhàn)) ;

4.客戶端用步驟1得到的密碼散列來(lái)加密這個(gè) challenge ，然后把這個(gè)返回給服務(wù)器;

5.服務(wù)器把用戶名、給客戶端的 challenge 、客戶端返回的 response 這三個(gè)東西，發(fā)送域控制器 ;

6.域控制器用這個(gè)用戶名在 SAM 密碼管理庫(kù)中找到這個(gè)用戶的密碼散列，然后使用這個(gè)密碼散列來(lái)加密 challenge;

7.域控制器比較兩次加密的 challenge ，如果一樣，那么認(rèn)證成功;

Java 6 以前的版本，是不支持 NTLM 認(rèn)證的。用戶若想使用 HttpConnection 連接到一個(gè)使用有 Windows 域保護(hù)的網(wǎng)站時(shí)，是無(wú)法通過(guò) NTLM 認(rèn)證的。另一種方法，是用戶自己用 Socket 這樣的底層單元實(shí)現(xiàn)整個(gè)協(xié)議過(guò)程，這無(wú)疑是十分復(fù)雜的。

終于，Java 6 的 Authentication 類提供了對(duì) NTLM 的支持。使用十分方便，就像其他的認(rèn)證協(xié)議一樣：

以下是引用片段：

class DefaultAuthenticator extends Authenticator {

private static String username = "username ";

private static String domain = "domain ";

private static String password = "password ";

public PasswordAuthentication getPasswordAuthentication() {

String usernamewithdomain = domain + "/ "+username;

return (new PasswordAuthentication(usernamewithdomain, password.toCharArray()));

}

}

這里，根據(jù) Windows 域賬戶的命名規(guī)范，賬戶名為域名+”/”+域用戶名。如果不想每生成 PasswordAuthentication 時(shí)，每次添加域名，可以設(shè)定一個(gè)系統(tǒng)變量名“http.auth.ntlm.domain“。

Java 6 中 Authentication 的另一個(gè)特性是認(rèn)證協(xié)商。目前的服務(wù)器一般同時(shí)提供幾種認(rèn)證協(xié)議，根據(jù)客戶端的不同能力，協(xié)商出一種認(rèn)證方式。比如，IIS 服務(wù)器會(huì)同時(shí)提供 NTLM with kerberos 和 NTLM 兩種認(rèn)證方式，當(dāng)客戶端不支持 NTLM with kerberos 時(shí)，執(zhí)行 NTLM 認(rèn)證。

目前，Authentication 的默認(rèn)協(xié)商次序是：

以下是引用片段：

GSS/SPNEGO?->?Digest?->?NTLM?->?Basic

那么 kerberos 的位置究竟在哪里呢?

事實(shí)上，GSS/SPNEGO 以 JAAS 為基石，而后者實(shí)際上就是使用 kerberos 的。

域名的國(guó)際化

在最近的一些 RFC 文檔當(dāng)中，規(guī)定 DNS 服務(wù)器可以解析除開(kāi) ASCII 以外的編碼字符。有一個(gè)算法可以在這種情況下做 Unicode 與 ASCII 碼之間的轉(zhuǎn)換，實(shí)現(xiàn)域名的國(guó)際化。java.net.IDN 就是實(shí)現(xiàn)這個(gè)國(guó)際化域名轉(zhuǎn)換的新類，IDN 是“國(guó)際化域名”的縮寫(xiě)(internationalized domain names)。這個(gè)類很簡(jiǎn)單，主要包括 4 個(gè)靜態(tài)函數(shù)，做字符的轉(zhuǎn)換。

結(jié)語(yǔ)

Java SE 6 有著很多 HTTP 相關(guān)的新特性，使得 Java SE 平臺(tái)本身對(duì)網(wǎng)絡(luò)編程，尤其是基于 HTTP 協(xié)議的因特網(wǎng)編程，有了更加強(qiáng)大的支持。

總結(jié)

以上是生活随笔為你收集整理的ntlm java_深讨Java SE 6 在 HTTP 方面的新特性(NTLM)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。