使用NTLM进行身份验证时，HttpClient 4.1.1返回401，浏览器工作正常

龚威

2023-03-14

问题内容：

我正在尝试使用Apache / Jakarta HttpClient
4.1.1使用给定的凭据连接到任意网页。为了测试这一点，我在运行只有一次身份验证模式的开发机上安装了IIS
7.5的最小安装。基本身份验证工作正常，但是每当我尝试登录时，摘要和NTLM都会返回401错误消息。这是我的代码：

    DefaultHttpClient httpclient = new DefaultHttpClient();
    HttpContext localContext = new BasicHttpContext();
    HttpGet httpget = new HttpGet("http://localhost/"); 
    CredentialsProvider credsProvider = new BasicCredentialsProvider();
    credsProvider.setCredentials(AuthScope.ANY,
            new NTCredentials("user", "password", "", "localhost"));
    if (!new File(System.getenv("windir") + "\\krb5.ini").exists()) {
        List<String> authtypes = new ArrayList<String>();
        authtypes.add(AuthPolicy.NTLM);
        authtypes.add(AuthPolicy.DIGEST);
        authtypes.add(AuthPolicy.BASIC);
        httpclient.getParams().setParameter(AuthPNames.PROXY_AUTH_PREF,
                authtypes);
        httpclient.getParams().setParameter(AuthPNames.TARGET_AUTH_PREF,
                authtypes);
    }
    localContext.setAttribute(ClientContext.CREDS_PROVIDER, credsProvider);
    HttpResponse response = httpclient.execute(httpget, localContext);
    System.out.println("Response code: " + response.getStatusLine());

我在Fiddler中注意到的一件事是Firefox与HttpClient发送的哈希值不同，这使我认为IIS
7.5可能期望比HttpClient提供的哈希更好？有任何想法吗？如果我可以验证它是否适用于NTLM，那就太好了。摘要也很好，但是如果有必要，我可以不用它。

问题答案：

我不是该主题的专家，但是在使用http组件进行NTLM身份验证期间，我发现客户端需要进行3次尝试才能连接到NTML端点。这里对Spnego进行了描述，但对于NTLM身份验证则有所不同。

对于第一次尝试使用NTLM的客户端，客户端将发出请求，Target auth state: UNCHALLENGED并且Web服务器将返回HTTP
401状态和标头：WWW-Authenticate: NTLM

客户端将检查配置的身份验证方案，应在客户端代码中配置NTLM。

第二次尝试，客户端将使用发送请求Target auth state: CHALLENGED，并发送带有以base64格式编码的令牌的授权标头：Authorization: NTLM TlRMTVNTUAABAAAAAYIIogAAAAAoAAAAAAAAACgAAAAFASgKAAAADw== 服务器再次返回HTTP
401状态，但标头：WWW-Authenticate: NTLM现在已填充编码信息。

3rd Attempt客户端将使用WWW-Authenticate: NTLM 标头中的信息，并通过Target auth state: HANDSHAKE和Authorization: NTLM包含服务器更多信息的授权标头进行最终请求。

就我而言，HTTP/1.1 200 OK之后我会收到。

为了避免所有请求文档中的所有问题，第4.7.1章指出，对于逻辑相关的请求，必须使用相同的执行令牌。对我来说，它没有用。

我的代码：我@PostConstruct使用EJB方法初始化一次客户端

        PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager();
        cm.setMaxTotal(18);
        cm.setDefaultMaxPerRoute(6);

        RequestConfig requestConfig = RequestConfig.custom()
        .setSocketTimeout(30000)
        .setConnectTimeout(30000)
        .setTargetPreferredAuthSchemes(Arrays.asList(AuthSchemes.NTLM))
        .setProxyPreferredAuthSchemes(Arrays.asList(AuthSchemes.BASIC))
        .build();

        CredentialsProvider credentialsProvider = new BasicCredentialsProvider();
        credentialsProvider.setCredentials(AuthScope.ANY,
                new NTCredentials(userName, password, hostName, domainName));

        // Finally we instantiate the client. Client is a thread safe object and can be used by several threads at the same time. 
        // Client can be used for several request. The life span of the client must be equal to the life span of this EJB.
         this.httpclient = HttpClients.custom()
        .setConnectionManager(cm)
        .setDefaultCredentialsProvider(credentialsProvider)
        .setDefaultRequestConfig(requestConfig)
        .build();

在每个请求中使用相同的客户端实例：

            HttpPost httppost = new HttpPost(endPoint.trim());            
            // HttpClientContext is not thread safe, one per request must be created.
            HttpClientContext context = HttpClientContext.create();    
            response = this.httpclient.execute(httppost, context);

在我的EJB的@PreDestroy方法中，释放资源并将连接返回到连接管理器：

             this.httpclient.close();

使用NTLM进行身份验证时，HttpClient 4.1.1返回401，浏览器工作正常

相关阅读

相关文章

相关问答

相关工具

相关文档