第四十七章 为 Web 应用程序实现 HTTP 身份验证
Apache
模块(mod_csp*.so/dll
和 CSPa*[Sys].so/dll
)允许 IRIS
控制 HTTP
身份验证。
Web
请求的 HTTP
身份验证通常在 Web
服务器和客户端(浏览器)之间进行。因此,通常不可能在 Web
服务器托管的自定义请求处理程序(例如 CGI
程序和基于 Web
服务器 API
的请求处理程序)中实现 HTTP
身份验证。当然,此类扩展可以发出 401 Authorization required
响应标头,并且作为响应,浏览器会显示 HTTP
登录对话框。但是,在后续请求中,Web
服务器会拦截用户的登录详细信息,并尝试使用其自己的内置功能对用户进行身份验证。在 Web
服务器根据自己的条件对用户进行身份验证之前,用户名和密码不会(至少在第一个实例中)传递到请求处理扩展。
此方案给希望在其选择的技术内本地(并以编程方式)执行 HTTP
身份验证的第三方开发技术(例如 CSP
)的用户带来了问题。
这里描述的功能克服了这些技术困难,并允许用户在 IRIS
环境中对 Apache
托管的 Web
应用程序执行 HTTP
身份验证。 Apache
用户可以在以下各节中描述的三种方法之间进行选择。
Apache
中的标准 HTTP
身份验证 (mod_auth
)
该方法是Apache
提供的标准机制(通过mod_auth
模块),不涉及Web Gateway
。这里提到它是为了完整性。
例如,使用基于 Apache
的身份验证保护 CSP
示例所需的基本参数显示在以下配置块 (httpd.conf
) 中:
bash
<Location "/csp/samples/">
AuthType Basic
AuthName "CSP samples"
AuthUserFile conf/csp.pwd
require valid-user
</Location>
其中:
- AuthType -
AuthType
是所需的授权类型(通常是基本)。 - AuthName -
AuthName
是领域。 - AuthUserFile -
AuthUserFile
是保存用户名及其关联密码(以加密形式)的文件(相对于Web
服务器根目录)。该文件由Apache htpasswd
实用程序创建和维护。
require
参数列出了可以访问受保护资源的用户(本例中为 CSP
示例)。 valid-user
参数指示必须在用户名/密码文件中定义用户(如 AuthUserFile
中声明的那样)。
java
https://httpd.apache.org/docs/2.4/mod/mod_authz_groupfile.html#authgroupfile
在处理请求的同时在 CSP
中进行身份验证。
这是在 Web
应用程序中实现 HTTP
身份验证的首选(也是性能最佳)方法。
使用基于 CSP
的身份验证保护 CSP
示例所需的基本参数显示在以下 Apache
配置块 (httpd.conf
) 中:
xml
<Location "/csp/samples/">
AuthType Basic
AuthName "CSP samples"
require valid-user
AuthCSPEnable On
AuthBasicAuthoritative Off
</Location>
参数 AuthType
、AuthName
和 require
是用于触发身份验证的标准 Apache
参数。
附加的 AuthCSPEnable
参数指示 CSP
模块绕过由 Apache
(在 mod_auth
中)执行的身份验证检查,并将用户名和密码以及原始 Web
请求传递到 IRIS
进行身份验证。 Web
应用程序必须使用以下 CGI
环境变量检查用户:
AUTH_TYPE
:这是基本的。REMOTE_USER
:用户名。AUTH_PASSWORD
:用户的密码(纯文本)。
如果可以根据这些参数中保存的值成功对用户进行身份验证,则应用程序应继续并处理请求(即返回请求的 CSP
资源)。如果没有,它应该返回一个 HTTP 401 Authorization required
响应,该响应至少应该类似于:
xml
HTTP/1.1 401 Authorization Required
WWW-Authenticate: Basic realm="CSP samples"
Content-Type: text/html
Connection: close
<html>
<head><title>401 Authorization Required</title>
</head><body> <h1>Authorization Required</h1>
<p> The server could not verify that you are authorized
to access the application. Check your username and password.
</p>
<hr>
</body>
</html>
```
收到此消息后,浏览器将重新显示登录对话框,除非用户已用完所有登录尝试(通常为 `3` 次),在这种情况下,将显示标题后面的消息。
用户可以通过修改登录页面来实现这种认证方式。如果收到请求并且用户没有运行应用程序所需的权限,则会调用登录页面,该页面的处理可以从请求中提取身份验证信息(例如 `AUTH_TYPE`、`REMOTE_USER` 和 `AUTH_PASSWORD`)。如果这些参数正确,则登录脚本可以将控制重定向到最初请求的应用程序页面。如果部署了 安全控制层,则无需对所有公共页面重复身份验证过程。