服务器对请求的鉴权可以在请求头中加Authorization之类的key,将用户名、密码保存到此key对应的value中,当然对于用户名、密码这种高机密的信息,应该对其进行加砂加密等,最简单的方法如下:
String vuser_id = "weblogic";
String vuser_pwd = "weblogic";;
String loginInfo = vuser_id + ":" + vuser_pwd;
loginInfo = new BASE64Encoder().encode(loginInfo.getBytes("iso-8859-1"));
method.addRequestHeader("Authorization", "JAAS " + loginInfo);
在服务器端对其进行反向处理即可,如下所示:
String authorization = request.getHeader("Authorization");
if (StringUtils.isEmpty(authorization)){
throw new Exception("非法请求!");
}
authorization = authorization.substring("JAAS ".length(),authorization.length());
authorization = BASE64.decryptBASE64(authorization,this.httpHeaderEncoding);
Map<String,String> loginInfo = new HashMap<String,String>();
String[] tp = authorization.split(":");
loginInfo.put("userID", tp[0]);
loginInfo.put("password", tp[1]);
然后进行weblogic的登录操作:
int status = weblogic.servlet.security.ServletAuthentication.login(userID,passworod,request,response);
if(status == weblogic.servlet.security.ServletAuthentication.AUTHENTICATED){
return true;
}else{
throw new LoginException("认证失败!");
}
当然,为了降低服务器的认证压力,可以在服务器端做一个缓存,用于保存成功登录过的用户。简单来看,可以保存在ConcurrentHashMap中,key为用户ID,value为密码等。当用户请求过来时,首先根据用户ID从ConcurrentHashMap中获取,如能获取,则简单比较缓存中的密码和这次用户传入的密码是否相等,相等则认为认证通过,否则清空缓存重新认证,如果认证成功,则又将用户登录信息缓存起来。