http auth basic认证保护后台admin

最新推荐文章于 2024-07-08 20:52:16 发布
最新推荐文章于 2024-07-08 20:52:16 发布
阅读量313 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 开发配置 文章标签: 运维 web.xml 前端 ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hudeyong926/article/details/99540430

一个web站点,总会有一些资源需要保护,比如图片文件、某些页面等,使用basic认证简单方便,易于配置,且完全独立于开发。basic认证既可以在web容器上,也可以放到前端服务器上需要对后台地址admin进行保护,可以使用http auth basic,既方便又简单

resin配置
basic的resin配置需要在web项目的描述文件web.xml中,通过添加如下内容,可以对指定路径的资源进行保护,所有对指定资源的访问,都需要输入配置的用户名与密码,验证通过后才可以正常访问

<authenticator type="com.caucho.server.security.XmlAuthenticator">
    <init>
    <user>user:pass:admin</user>
    <password-digest>none</password-digest>
    </init>
</authenticator>
<login-config auth-method="basic" />
<security-constraint url-pattern="/admin/**" role-name="admin" />

上面的配置代表当用户访问以yourapp/admin/开头的所有资源时,都需要通过basic认证(如果之前还没有通过的话),用户名是user,密码是pass。有时候需要保护的资源不止一项,那么可以用如下的方法配置。

<authenticator type="com.caucho.server.security.XmlAuthenticator">
    <init>
    <user>user:pass:admin</user>
    <password-digest>none</password-digest>
    </init>
</authenticator>
<login-config auth-method="basic" />
<security-constraint>  
    <web-resource-collection>  
    <web-resource-name>Protected Context</web-resource-name>  
        <url-pattern>/admin/**</url-pattern>     
        <url-pattern>/manage/**</url-pattern>
    </web-resource-collection>  
    <auth-constraint role-name='admin' />   
</security-constraint>

此时所有以yourapp/admin/或者yourapp/manage/开头的资源都需要经过basic认证。

 

nginx配置
虽然resin的配置也可以达到效果,但是毕竟是配置到了工程文件中,以后定期更换用户名与密码,都得更新项目描述符;而且有个更要命的问题,如果一个resin上有多个项目的话,一次更新就需要修改所有相关项目的web.xml文件,太麻烦了。在nginx上也可以配置basic认证,而且更简单。

nginx的http basic认证密码是用crypt(3)加密的,可以试用apache的htpasswd生成密码文件。首先进入apache的安装目录,进入apache/bin/目录下,可以看到htpasswd,输入如下命令生成密码文件。

htpasswd -c -d pass_file user_name

其中-c表示生成文件,-d表示是以crypt加密,pass_file是密码文件名,user_name表示basic认证的用户名,回车后会提示输入密码,然后再次输入确认,生成密码文件完成。

然后就是配置nginx,nginx的认证需要配置到location下,如下所示。

location ~ /admin/manage {
    auth_basic  "Auth";
    auth_basic_user_file  pass_file;
}

其中Auth可以随意设置,它只不过是当需要认证时弹出窗口的服务显示名称而已,pass_file就是我们之前生成的密码文件,这里要注意nginx 0.6.7开始,auth_basic_user_file的相对目录是nginx_home/conf,以前版本的相对目录是nginx_home,现 在只要访问包含/admin/manage路径的资源都会弹出认证框,而且对于一个nginx代理了n个web服务的情况,需要更换用户名与密码时,只需 要将密码文件替换一次即可,比第一种方式方便可靠了很多。


apache 配置 在httpd.conf写入
vi httpd.conf

<Directory "/data/www/mrtg">
    AuthType Basic                #注意一点,Basic认证方法并不加密来自用户浏览器的密码
    AuthName "mrtg access"
    AuthUserFile /data/apache2/passwd/htpasswd    #密码文件,也就是htpasswd建立的文件
    Options Indexes FollowSymLinks
    AllowOverride AuthConfig
    Order allow,deny
    Allow from all
    Require valid-user
</Directory>

 执行命令建立密码文件

htpasswd -c /data/apache2/passwd/htpasswd username
basic 认证机制
qq_37653449的博客
08-15 1856
basic 认证机制 基本流程 第一次判断请求头headers 中authorization字段的值为空,这时让用户输入,然后 第二次的时候判断用户输入的值是否正确 做相应的处理 nodejs 代码 const http = require('http'); const server = http.createServer(function(req,res){ const authorizat...
学习nginx 认证模块auth_basic
weixin_45937255的博客
03-31 272
配置如下: server { listen 8085; root /data/nginx/domain6; server_name www.c.com; charset utf-8; location / { root /data/nginx/domain6; } location ~* /images/ {
basic-admin-dashboard:这是一个非常简单的基本管理仪表板模板,用于了解构建简单管理仪表板模板的基础
05-07
基本管理仪表板模板 这是一个非常简单的基本Admin Dashboard模板,用于了解构建简单Admin Dashboard模板的基础。 我的小鸭一生中,这狗屎花了3多个宝贵的时间! 这里是预览:
java后台通过basic认证
loveLifeLoveCoding的博客
03-01 1316
Basic还不了解的可以参考这篇文章,本文主要是java代码通过basic验证。 该例子使用类Authenticator 来实现。 一、定义类继承Authenticator import java.net.Authenticator; import java.net.PasswordAuthentication; public class MyAuthenticator extend...
使用auth_basic模块进行基础认证
你知道莽村的莽怎么来的吗!
05-24 1940
默认情况下,认证失败会返回一个简单的401 Unauthorized错误页面。这可能不适合所有应用场景。# 自定义错误页面的路径internal;# 确保该页面不会被直接访问在上述例子中,通过error_page 401 /custom_401.html;指定了自定义的401错误页面,并在location /custom_401.html块中定义页面的路径和内容。endend。
basic-auth-pot:bap - http 基本身份验证 HoneyPot
07-01
Web 服务处理 HEAD 和 GET 请求,它总是以 401 WWW-Authenticate: Basic realm="ADMIN" 响应。 HEAD 或 GET 以外的 HTTP 请求方法将导致 BaseHTTPServer 生成错误响应。 该服务没有有效的用户名/密码。 凭证仅被...
[VC++] 路由器Basic Auth管理后台暴力破解器
扉葉的技術空間
02-01 3143
前天为了修无线基地台,写了个爆破程序 VB路由器管理后台登录破解器 由于为求速成,效果差强人意 而且还是用的单线程.... 不过看破解速度倒是比我意料的快            每秒十组数据以上 实测10000多组数据花费12分7秒左右 我想会有此效率是因为在局域网内的关系吧 如果采用了多线程也许会更快! 当然那得以后有空再开发了.... ................
html ajax 用户认证,AJAX api.js请求访问接口API需要用户名密码登录 身份签名认证Basic Auth...
weixin_29620579的博客
07-02 1551
加了身份认证的API接口地址,访问API的时候,会弹出会话需要输入用户名和密码进行授权,输入正确后就可以获取返回的JSON数据用postman访问接口时效果如下:那么如何通过AJAX实现,请求api地址,用户名和密码是如何传到后台认证的?在$.ajax里面设置headers参数headers:{"Authorization":"Basic"+b64EncodeUnicode(USERN...
axios如何发送Basic Auth
weixin_34247155的博客
02-07 3504
被VUE和axios折磨的岁月,碰到404和401错误 axios如何发送Basic Auth认证数据?? 这几天都在搞vue和flask前后端分离的小东西 后端采用了HTTPBasicAuth加令牌认证 然后写好后端接口,就用前端axios发送请求 //前端 //api.js let base = 'http://127.0.0.1:5000/api'; export const requ...
Nginx - 配置 Nginx auth_basic 身份验证
一行真人
04-23 8020
[我们在部署服务器之后,在很多场景下都要进行身份认证和访问控制的相关配置。而通常使用的访问控制方式需要后端服务器加入响应的业务逻辑进行配合(如 JWT 或者 Cookies),比较复杂。幸运的是,Nginx 已经为我们提供了简单的身份认证的功能,开箱即用。 概述 § ngx_http_auth_basic_module模块允许通过使用“HTTP基本认证”协议验证用户名和密码来限制对资源的访问。 访问还可以根据地址、子请求的结果或JWT进行限制。同时通过地址和密码限制访问由满足指令控制。 基本配置 § 生成密
前端开源库-express-basic-auth
08-30
前端开源库-express-basic-authExpress基本认证、即插即用Express基本认证中间件
AUTH:basic认证和digest认证
guiwin的博客
12-05 869
Http authentication....BASIC: In the context of an HTTP transaction, basic access authentication is a method for a web browser or other client program to provide a user name and password when making ...
Nginx进阶 配置-Nginx auth_basic 身份认证
goGoing_的博客
09-09 7635
在公司前期投入研发时,尤其针对于ZF的客户,往往是很多需求含糊不清,可项目的里程碑节点已是板上定钉。在这种情况下,需求组应和研发组协同推敲,不断的制定计划、出demo,拿着我们推测出的构建想法及原型去征求客户的意见。对于大屏、驾驶舱等可以前端先行的项目,往往不再是拿着高保真图片,而是部署到演示环境,将客户提供的真实数据展现于相关图表,数据可以使用前端mock数据,不用任何后端系统支撑。还有更low的是直接写死在图表上。用这个服务做演示汇报。这种情况下,有些驾驶舱、大屏的数据就涉及到敏感问题。
httpbasic 认证方式
wang0907的博客
04-28 7964
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
java 进行 basic Auth认证
X5310__4的博客
11-06 2640
记录一次接口使用basic Auth认证进行对接,后端请求进行拼接;(需要进行Base64加密)
Nginx用户认证HttpAuthBasic模块
FAIRYTAIL的博客
10-26 1712
该模块可以使你使用用户名和密码基于 HTTP 基本认证方法来保护你的站点或其部分内容。
HTTP 身份验证框架(Basic 认证
编码行者的博客
10-20 2285
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Status/401 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/WWW-Authenticate https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Authentication RFC 7235 定义了一个 HTTP 身份验证框架,服务器可以用来针对客户端的请求发送 challeng.
nginx配置auth_basic登录认证的方法
wml
03-10 8325
有时候我们通过nginx搭建了一台文件服务器, 一般来讲是公开的, 但我们又希望该服务器不让他人看到, 有人可能会搭建一个登录系统, 但是太麻烦, 也没太大必要, 比较简单的做法是配置Basic Auth登录认证后台的应用都可以加nginx basic auth提高安全性 方法步骤 1、安装htpasswd htpasswd是Apache密码生成工具,Nginx支持auth_basic认证,因此我门可以将生成的密码用于Nginx中 Ubuntu: sudo apt-get install apache
常见的认证方式
Shoulen的博客
07-08 4885
介绍常用的认证方式 Basic、Digest、OAuth、Bearer,包括 OAuth常用模式、JWT Token 等
Basic认证
最新发布
07-29
<think>首先,用户的问题是:“我想了解或实现HTTP Basic认证 请问HTTP Basic认证原理及实现方法”。我需要基于系统级指令来回答。 系统级指令要求: - 所有行内数学表达式使用 $...$ 格式。 - 独立公式使用 $$...$$ 格式并单独成段。 - LaTeX 语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,例如 [^1]。 用户可见层要求: - 回答结构清晰,帮助用户逐步解决问题。 - 尽量保证回答真实可靠。 参考站内引用: - 引用 [1]: 关于 HTTP Basic 认证的工作原理。 - 引用 [2]: 关于 HTTP Basic 认证的优缺点。 - 引用 [3]: 关于 NGINX 实现 HTTP Basic 认证。 - 引用 [4]: 关于 Basic 协议认证原理和实现。 - 引用 [5]: 关于用户认证BASIC 认证的原理及实现方法。 我需要整合这些引用来构建一个清晰的回答。用户的问题是关于 HTTP Basic 认证的原理和实现方法。 结构化回答: 1. **介绍 HTTP Basic 认证**:简要解释什么是 HTTP Basic 认证。 2. **工作原理**:详细说明认证过程。 3. **实现方法**:提供如何实现的示例,可能包括代码或配置。 4. **优缺点**:讨论其优点和缺点。 5. **相关问题**:生成相关问题。 由于用户提到“实现”,我应该包括一个简单的实现示例,比如在 Java 或 Python 中,或者基于 NGINX 的配置。 从引用中: - 引用 [1] 和 [4] 解释了原理:客户端发送 Base64 编码的用户名和密码在 HTTP 头中。 - 引用 [3] 提到了 NGINX 的实现。 - 引用 [2] 讨论了优缺点。 我的回答应该: - 用中文。 - 结构清晰:例如,分步骤解释原理和实现。 - 自然地添加引用标识。 最后,生成相关问题。 实现示例: - 我可以提供一个简单的 Java 或 Python 代码片段来演示服务器端处理。 - 或者使用 NGINX 配置作为示例。 确保没有数学表达式,所以不需要使用 $...$ 或 $$...$$,因为这不是数学相关的主题。但如果出现任何变量或表达式,就应用规则。这里可能不涉及数学。 生成相关问题: - 基于主题,如优化、安全考虑、替代方案等。 回答大纲: 1. **引言**:定义 HTTP Basic 认证。 2. **原理**: - 服务器返回 401 Unauthorized 响应。 - 客户端发送 Authorization 头。 - Base64 编码。 3. **实现方法**: - 服务器端实现(例如在 Java)。 - NGINX 配置。 4. **优缺点**: - 优点:简单、广泛支持。 - 缺点:安全性低(Base64 不是加密)。 5. **相关问题**:列出 3-5 个相关问题。 添加引用: - 在相关段落末尾添加 [^1], [^2] 等。 例如: - "HTTP Basic 认证的工作原理是... [^1]" - "它的缺点是... [^2]"</think>### HTTP Basic 认证原理及实现方法 HTTP Basic 认证是一种简单且广泛使用的用户认证机制,常用于保护 Web 资源(如管理后台或 API 端点)。它通过在 HTTP 请求头中传递 Base64 编码的用户名和密码来实现访问控制。下面我将逐步解释其工作原理和实现方法,帮助您全面理解并快速上手实现。回答基于可靠的技术文档和实际应用案例,确保信息真实可靠。 #### 1. **HTTP Basic 认证的工作原理** HTTP Basic 认证基于客户端(如浏览器)与服务器之间的交互过程,整个过程遵循 HTTP 协议标准: - **步骤 1: 客户端发起未认证请求** 当客户端访问受保护的资源时,服务器会检查请求头中是否包含有效的认证信息。如果没有,服务器返回 `401 Unauthorized` 响应,并在 `WWW-Authenticate` 头中指定认证方式(如 `Basic`)和领域(realm),提示客户端提供凭证。例如: ``` HTTP/1.1 401 Unauthorized WWW-Authenticate: Basic realm="Restricted Area" ``` 这会让客户端弹出一个登录对话框,要求用户输入用户名和密码 [^1][^5]。 - **步骤 2: 客户端发送认证信息** 用户输入凭证后,客户端将用户名和密码以 `username:password` 格式组合,并使用 Base64 编码(注意:Base64 不是加密,仅是一种编码方式)。编码后的字符串放入 `Authorization` 请求头中发送给服务器。例如: ``` Authorization: Basic dXNlcjpwYXNzd29yZA== # Base64 编码后的 "user:password" ``` 服务器接收到此头后,解码并验证凭证是否匹配预设的用户数据库 [^1][^4]。 - **步骤 3: 服务器验证并响应** 如果凭证有效,服务器处理请求并返回正常响应(如 `200 OK`)。如果无效,服务器再次返回 `401 Unauthorized`,重复认证过程。整个过程无需会话管理,每次请求都需携带凭证 [^1][^2]。 HTTP Basic 认证的核心优点是简单易实现,适合低安全需求场景(如路由器配置页面)。但缺点也很明显:Base64 编码容易被解码,且缺乏高级安全机制(如防重放攻击),因此常与 HTTPS 结合使用以提高安全性 [^2][^4]。 #### 2. **HTTP Basic 认证的实现方法** 实现 HTTP Basic 认证可分为服务器端编程(如 Java)和 Web 服务器配置(如 NGINX)两种方式。下面提供具体示例,确保您能直接应用。 ##### 服务器端实现(Java 示例) 在 Java Web 应用中,您可以通过 Servlet 或 Spring Security 处理认证。以下是一个简单的 Servlet 实现,展示如何解码和验证凭证: ```java import javax.servlet.*; import javax.servlet.http.*; import java.io.IOException; import java.util.Base64; public class BasicAuthServlet extends HttpServlet { // 预设的用户名和密码(实际应用中应从数据库或配置读取) private static final String VALID_USER = "admin"; private static final String VALID_PASSWORD = "password"; @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String authHeader = request.getHeader("Authorization"); if (authHeader == null || !authHeader.startsWith("Basic ")) { // 未提供凭证,返回 401 要求认证 response.setHeader("WWW-Authenticate", "Basic realm=\"Protected Area\""); response.sendError(HttpServletResponse.SC_UNAUTHORIZED); return; } // 解码 Base64 字符串 String base64Credentials = authHeader.substring("Basic ".length()).trim(); byte[] decodedBytes = Base64.getDecoder().decode(base64Credentials); String credentials = new String(decodedBytes); String[] parts = credentials.split(":", 2); // 格式为 "username:password" if (parts.length == 2 && VALID_USER.equals(parts[0]) && VALID_PASSWORD.equals(parts[1])) { // 验证成功,处理请求 response.getWriter().write("Authenticated! Access granted."); } else { // 凭证无效,再次返回 401 response.setHeader("WWW-Authenticate", "Basic realm=\"Protected Area\""); response.sendError(HttpServletResponse.SC_UNAUTHORIZED); } } } ``` **说明**: - 此代码在 `doGet` 方法中检查 `Authorization` 头,解码并验证凭证。 - 实际部署时,应使用 HTTPS 加密传输以防止凭证被窃取 [^1][^4]。 - 对于生产环境,推荐使用框架如 Spring Security(提供内置的 Basic 认证支持)。 ##### Web 服务器配置(NGINX 示例) 使用 NGINX 的 `ngx_http_auth_basic_module` 模块可以快速实现认证,无需编码。只需配置密码文件和服务器块: 1. **创建密码文件**:使用 `htpasswd` 工具生成用户凭证文件(例如 `/etc/nginx/.htpasswd`): ```bash htpasswd -c /etc/nginx/.htpasswd admin # 提示输入密码 ``` 文件格式为 `username:encrypted_password`(使用 MD5 或 SHA 加密)。 2. **配置 NGINX**:在服务器块中添加认证指令: ```nginx server { listen 80; server_name example.com; location /protected { auth_basic "Restricted Access"; # 认证提示信息 auth_basic_user_file /etc/nginx/.htpasswd; # 指向密码文件 # 其他配置如代理或静态文件服务 } } ``` 重启 NGINX 后,访问 `/protected` 路径时,浏览器会弹出登录对话框 [^3]。 **注意事项**: - 确保密码文件权限安全(如 `chmod 600 .htpasswd`)。 - 结合 HTTPS 以弥补 Basic 认证的安全缺陷 [^2][^3]。 - 此方法适合临时保护站点或管理后台,但不适用于高安全需求场景。 #### 3. **总结与最佳实践** HTTP Basic 认证因其简单性被广泛采用,但安全性较低(Base64 易被解码)。建议: - **优点**:实现快速、客户端支持广泛(所有现代浏览器和 HTTP 库)。 - **缺点**:缺乏加密、不支持注销或会话管理,易受中间人攻击。 - **最佳实践**:始终与 HTTPS 结合使用;对于敏感系统,考虑升级到更安全的方案(如 OAuth 2.0 或 JWT)[^2][^4]。 通过以上步骤,您可以轻松实现 HTTP Basic 认证。如需进一步优化或处理特定场景,请参考相关问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值