服务器是怎么要求客户端强行弹出身份验证窗口的

最新推荐文章于 2024-04-04 17:51:13 发布
最新推荐文章于 2024-04-04 17:51:13 发布 · 211 阅读 · 0
文章标签:

#浏览器 #Tomcat #JSP #ASP #Cache

我们访问tomcat服务器的时候如果试图访问Tomcat Manager就会发现浏览器弹出一个登陆对话框,和我们平常的网页对话框不同,而且查看页面的时候查不到生成这个对话框的代码,禁止脚本也毫无作用。手头的资料对这个东西没有任何介绍,它到底是怎么弹出来的呢?


用jmeter创建一个http request的sampler,再建一个view result tree的lisenter来看看服务器返回了些什么污七八糟的:

HTTP response headers:
HTTP/1.1 401 Unauthorized
Pragma: No-cache
Cache-Control: no-cache
Expires: Thu, 01 Jan 1970 08:00:00 CST
WWW-Authenticate: Basic realm="Tomcat Manager Application"
Content-Type: text/html;charset=utf-8
Content-Length: 954
Date: Thu, 30 Jun 2005 09:27:26 GMT
Server: Apache-Coyote/1.1


嘿嘿,原来是一个带WWW-Authenticate的401错误啊。自己写个jsp模拟一下看看怎么样:

<%
response.addHeader("WWW-Authenticate","Basic realm=\"Tomcat Manager Application\"");
response.sendError(401,"Unauthorized");
%>

果然,一个一模一样的登陆窗口跳出来了。不过身份验证的具体过程要怎么做呢?google了一下,果然看到好东西了: http://www.chinadata.cn/showContent.asp?projectID=2083



按照说明构造了一个jsp文件:

<%
sun.misc.BASE64Decoderdecoder = new sun.misc.BASE64Decoder();
booleanauthenticated = false ;
Stringauthorization = request.getHeader( " authorization " );
System. out .println( " authorization: " + authorization);
 if (authorization != null ) {
if(authorization.startsWith("Basic")){
authorization=authorization.substring(authorization.indexOf('')+1);
byte[]bytes=decoder.decodeBuffer(authorization);
authorization=newString(bytes);
StringuserName=authorization.substring(0,authorization.indexOf(':'));
Stringpassword=authorization.substring(authorization.indexOf(':')+1);
System.out.println("userName:"+userName);
System.out.println("password:"+password);
authenticated=userName.equals("abc")&&password.equals("abc");
}elseif(authorization.startsWith("Digest")){
StringuserName=authorization.substring(authorization.indexOf("username="));
userName=userName.substring("username=\"".length());
userName=userName.substring(0,userName.indexOf('"'));
Stringpassword=authorization.substring(authorization.indexOf("response="));
password=password.substring("response=\"".length());
password=password.substring(0,password.indexOf('"'));
authenticated=userName.equals("abc")&&password.equals("3cf1135d3b8e20dd9272d06288569a56");
}
}
if ( ! authenticated) {
//response.addHeader("WWW-Authenticate","Digestrealm=\"TomcatManagerApplication\"");
response.addHeader("WWW-Authenticate","Basicrealm=\"TomcatManagerApplication\"");
response.sendError(401,"Unauthorized");
} else {
out.println("helloabc");
}
%>



cool,和tomcat一模一样的登陆页面做出来了。

用户名密码均为abc,hard code在代码里面了。不过还没查到Digest方式的情况下是对哪些信息进行MD5的

iteye_3650
关注
U3D Pun2 官方文档学习和翻译
t1370620378的博客
02-18 4392
这里是个人学习photon的一些总结,以及学习photon官方文档和对其的部分翻译和整理,都是些个人觉得基础和常用的部分,有什么错误谢谢指出~ pun2官方文档链接https://doc.photonengine.com/zh-cn/pun/current/getting-started/pun-intro 文章目录连接和鉴权区域TCP和UDP鉴权STEAMOCULUS大厅和房间用户id以及好友匹配指导快速匹配筛选随机匹配大厅LobbyDefault Lobby TypeSQL Lobby TypeAsyn
【vbox】Linux安装Virtual Box虚拟机实践记录--编辑中
小鱼菜鸟的博客
07-22 2527
目录 一、安装 方法一 方法二 二、使用 在centos 使用 常用命令 VBoxManage 命令行使用(设置) VBoxManage 命令操作,详细的网络设置命令 1.5 桥接网络(Bridged Networking) 1.6 内部网络(Internal networking) 1.7 仅主机模式(Host-only ...
tomcat实现windows认证窗口
12-26 2826
有项目发布的过程中,为提高后台安全级别,我们住住会添加windows认证做为登录前的加密手段。 配置windows认证 第一步: 在工程中的WEB-INFO中找到web.xml文件,并添加相关配置 / /* paymentrole BASIC Password required 第二步: 在tomcat文件夹中找到server.xml文件
windows环境下使用tomcat搭建文件服务器(带权限验证)
最新发布
qq_16170703的博客
04-04 2111
windows环境下使用tomcat搭建文件服务器(带权限验证)
IOS 使用自签名证书开发HTTPS文件传输
kyl282889543的博客
11-02 4172
IOS 使用自签名证书开发HTTPS文件传输1. HTTPS文件传输简介2. HTTPS 对比HTTP简介3. HTTPS 通讯中SSL处理流程4. HTTPS 中使用的证书生成,配置5. HTTPS 自己实现IOS端证书验证6. Alamofire实现SSL安全认证 源码解析7. HTTPS实现文件上传8. HTTPS实现文件下载9. HTTPS文件传输通过moya+alamofire+rxsw...
网络安全专业名词解释
aixmmmlll的博客
05-16 4543
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
Qt内嵌web技术及透明问题解决
qq_31286321的博客
12-27 2647
本节所说的冲突,存在于以Qt作为UI框架、用winId作为视频渲染句柄的业务中,如果不用winId渲染视频,使用Qt提供的QSurface相关模块,那就不存在这个问题。但是,目前大部分Windows视频渲染业务,还是基于WinId,特别是要求硬件渲染的场景。这冲突,深入点看,是QWidget属性与之间的冲突,是Qt渲染和Windows原生窗体之间的不兼容。Qt官方也有建议,可以完全用Qt渲染或转成QPixmap再绘制,来实现透明窗体上的视频渲染,在这不再多赘述。
安装tomacat之后出现需要授权窗口
weixin_30595035的博客
06-17 263
安装tomacat之后登录网页,出现需要授权窗口,输入正确密码后依然会循环弹出窗口。 原因: 因为tomcat的端口与oracle的端口重复了。 解决: 进入任务管理器,然后将oracle运行的程序都关闭(结束运行),再次重启tomcat,再次输入就好了。 转载于:https://www.cnblogs.com/1693977889zz/p/11041576.html...
服务端强行要求弹出客户端登录窗口自动登录方法
skiof007的专栏
06-21 1110
想做点东西练练javascript,于是打算为饭否AIR客户端爱饭加上额外的功能,例如上传图片等,先尝试了使用javascript验证和发送饭否消息,仅这个就花了不少时间,很多时间花在了去除低级错误上,例如jquery ajax的type:”post”被我写成了method:”post”,花了很多时间才找出来。 先放上主要代码,使用jquery框架以及jquer.base64插件: 有两个主要
网页访问localhost出现用户名和密码登录弹窗
m0_72898834的博客
10-10 4128
1. 尝试了修改tomcat端口号,无效,因为我并没有运行tomcat 2.通过组策略设置“自动选择当前用户名和密码无效” 3.IIS修改网站设置不起作用 最后是通过命令行查看端口占用,发现localhost也就是我的本地端口——80端口被一个进程占用了,故网站这个新进程打不开,我到任务管理器结束占用的进程,重新刷新网页就可以了。 具体步骤如下: 先键入(netstat —ano)命令查看端口, 发现80端口有两个进程 根据我的进程使用tasklist|findstr
通过HTTP协议认证方式弹出用户名和密码对话框
u012925692的博客
08-09 2543
请求头部类似如下,Authorization: Digest username="xxxxx",realm="myTomcat",qop="auth",nonce= "xxxxx",uri="xxxx",cnonce="xxxxxx",nc=00000001,response="xxxxxxxxx",opaque="xxxxxxxxx"。④ 服务器端Web容器获取HTTP报文头部的相关认证信息,确认此用户名与密码是否正确,是否有相应资源的权限,如果认证成功,则返回相关资源,否则再执行步骤②,重新进行认证。
Tomcat部署(图片和HTML等)静态资源时遇到的问题
m0_62317155的博客
12-14 1257
Tomcat部署(图片和HTML等)静态资源时遇到的问题
loadRunner。Action.c(31): Error -26547: Authentication required, please use web_set_user, e.g. web_se
weixin_38395200的博客
06-13 3489
**问题解析:**31行代码出错,登陆的时候密码加密了,所以录制回放的时候就报错了。 **解决方法:**用函数web_set_user(“domain\\登录的用户名”,”登录的密码”,”ip地址和端口”); 如:web_set_user(“domain\\sjj”,”11111111”,”192.168.1.12:8080”); 这样就不报错了。......
loadrunner Web_类函数之web_set_user()
testingstar的专栏
09-26 9859
web_set_user()--常用函数 为Web服务器指定登录字符串。当我们使用RNS服务器或者某些服务器的时候需要我们输入账号密码登录才能给进行访问,那么这个时候就需要用到该函数。 intweb_set_user(const char* username,const char * password,const char * host:port); 参数说明: object:评估到类型为...
IIS Windows 集成身份验证弹出输入用户名密码的解决办法
weixin_34128839的博客
06-18 1800
作者:夏明亮Technorati 标签: IIS,Windo 集成身份验证,IE,弹窗,用户名密码,解决办法如果您正在设置您的IIS身份验证方式为“Windows 集成身份验证”,并且您在使用IE访问您的站点时发现IE仍然要求您输入您的用户名和密码,您有不知道问题出在哪里,那么本文将对您有所帮助。根据我们的理解“Windows 集成身份验证”意味着IE会自动使用当前系统登录的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值