Restlet实战(九)访问敏感资源之Digest认证

阅读更多

首先对所有的请求进行安全检验和认证,后面会给出对固定的URL进行安全认证的情况。对Restlet1.1.5来说,需要借助于Guard类来完成。

 

说一下大概的思路,建立一个Guard,并把它直接attach到Componet,当请求过来以后,会首先路由到这个Guard,如果通过认证,则路由到对应URL的Resource,否则,拦截掉。

 

首先修改Spring的配置文件:

 

Xml代码   收藏代码
  1. <bean id="component" class="org.restlet.ext.spring.SpringComponent">  
  2.     <property name="defaultTarget" ref="guard" />  
  3. bean>  
  4.   
  5. <bean id="guard" class="com.mycompany.restlet.filter.CustomerGuardFilter">   
  6.     <property name="next" ref="restRoute"/>  
  7.     <property name="secretResolver" ref="customerResolver"/>   
  8. bean>  
  9.   
  10. <bean id="customerResolver" class="com.mycompany.restlet.filter.CustomerResolver"/>  

 

从上述配置文件能看到,我们为SpringComponent的defaultTarget属性配置了一个Guard,当然这个是我们自己customized的一个Guard。而对于这个Guard,则指定其中的两个属性:next和secretResolver,next的意思是,如果通过校验和认证,则路由到下一个restlet实例,而secretResolver则是进行校验的地方。相关代码如下:

 

 

Java代码   收藏代码
  1. public class CustomerGuardFilter extends Guard {  
  2.   
  3.     public CustomerGuardFilter(Context context, ChallengeScheme scheme, String realm) {  
  4.         super(context, scheme, realm);  
  5.     }  
  6.       
  7.     public CustomerGuardFilter(){  
  8.         this(Context.getCurrent(), ChallengeScheme.HTTP_DIGEST, "realm");  
  9.     }  
  10.       
  11. }  

 

Java代码   收藏代码
  1. public class CustomerResolver extends Resolver<char[]> {  
  2.   
  3.     /** 
  4.      * Returns the value that corresponds to the given name. 
  5.      */  
  6.     @Override  
  7.     public char[] resolve(String name) {  
  8.         // Could have a look into a database, LDAP directory, etc.  
  9.         if ("login".equals(name)) {  
  10.             return "secret".toCharArray();  
  11.         }  
  12.   
  13.         return null;  
  14.     }  
  15.   
  16. }  

 

CustomerResolver类里面注释的地方,实际上就是我们在产品环境中从数据库或者LDAPdirectory或者别的地方取出密码的过程,这里,仅仅是为了测试,所以,直接硬编码了。

 

下面我们分别分别使用Restlet和Httpclient提供的API来编写客户端进行测试:

 

1.使用Restlet来测试

 

Java代码   收藏代码
  1. public static void testClientWithRestlet() {  
  2.     Reference reference = new Reference("http://localhost:8080/restlet/resources/customers");  
  3.     Client client = new Client(Protocol.HTTP);  
  4.     Request request = new Request(Method.GET, reference);  
  5.   
  6.     ChallengeResponse challengeResponse = new ChallengeResponse(ChallengeScheme.HTTP_DIGEST, "login""secret");  
  7.     request.setChallengeResponse(challengeResponse);  
  8.   
  9.     // Send the first request  
  10.     Response response = client.handle(request);  
  11.   
  12.     // Complete the challengeResponse object according to the server's data  
  13.     Form form = new Form();  
  14.     form.add("username""login");  
  15.     form.add("uri", reference.getPath());  
  16.   
  17.     // Loop over the challengeRequest objects sent by the server.  
  18.     for (ChallengeRequest challengeRequest : response.getChallengeRequests()) {  
  19.         // Get the data from the server's response.  
  20.         if (ChallengeScheme.HTTP_DIGEST.equals(challengeRequest.getScheme())) {  
  21.             Series params = challengeRequest.getParameters();  
  22.             form.add(params.getFirst("nonce"));  
  23.             form.add(params.getFirst("realm"));  
  24.             form.add(params.getFirst("domain"));  
  25.             form.add(params.getFirst("algorithm"));  
  26.             form.add(params.getFirst("qop"));  
  27.         }  
  28.     }  
  29.   
  30.     // Compute the required data  
  31.     String a1 = Engine.getInstance().toMd5("login" + ":" + form.getFirstValue("realm") + ":" + "secret");  
  32.     String a2 = Engine.getInstance().toMd5(request.getMethod() + ":" + form.getFirstValue("uri"));  
  33.     form.add("response", Engine.getInstance().toMd5(a1 + ":" + form.getFirstValue("nonce") + ":" + a2));  
  34.     challengeResponse.setCredentialComponents(form);  
  35.   
  36.     // Send the completed request  
  37.     request.setChallengeResponse(challengeResponse);  
  38.     response = client.handle(request);  
  39. }  

 

 2. 使用Httpclient测试

 

Java代码   收藏代码
  1. public static void testClientWithHttpclient() throws Exception{  
  2.     HttpClient client = new HttpClient();  
  3.     client.getState().setCredentials(  
  4.         new AuthScope("localhost"8080"realm"),  
  5.         new UsernamePasswordCredentials("login""secret"));  
  6.   
  7.     List authPrefs = new ArrayList();  
  8.     authPrefs.add(AuthPolicy.DIGEST);  
  9.     client.getParams().setParameter(AuthPolicy.AUTH_SCHEME_PRIORITY, authPrefs);  
  10.   
  11.     GetMethod httpget = new GetMethod("http://localhost:8080/restlet/resources/customers");  
  12.   
  13.     try {  
  14.         int status = client.executeMethod(httpget);  
  15.         // print the status and response  
  16.         System.out.println(status);  
  17.         System.out.println(httpget.getStatusLine());  
  18.         System.out.println(httpget.getResponseBodyAsString());  
  19.     } finally {  
  20.         // release any connection resources used by the method  
  21.         httpget.releaseConnection();  
  22.     }              
  23. }  

 

 

你可能感兴趣的:(Restlet实战(九)访问敏感资源之Digest认证)