第四十七章 为 Web 应用程序实现 HTTP 身份验证

文章目录

  • [第四十七章 为 Web 应用程序实现 HTTP 身份验证](#第四十七章 为 Web 应用程序实现 HTTP 身份验证)
  • [`Apache` 中的标准 `HTTP` 身份验证 (`mod_auth`)](#Apache 中的标准 HTTP 身份验证 (mod_auth))
  • [在处理请求的同时在 `CSP` 中进行身份验证。](#在处理请求的同时在 CSP 中进行身份验证。)

第四十七章 为 Web 应用程序实现 HTTP 身份验证

Apache 模块(mod_csp*.so/dllCSPa*[Sys].so/dll)允许 IRIS 控制 HTTP 身份验证。

Web 请求的 HTTP 身份验证通常在 Web 服务器和客户端(浏览器)之间进行。因此,通常不可能在 Web 服务器托管的自定义请求处理程序(例如 CGI 程序和基于 Web 服务器 API 的请求处理程序)中实现 HTTP 身份验证。当然,此类扩展可以发出 401 Authorization required 响应标头,并且作为响应,浏览器会显示 HTTP 登录对话框。但是,在后续请求中,Web 服务器会拦截用户的登录详细信息,并尝试使用其自己的内置功能对用户进行身份验证。在 Web 服务器根据自己的条件对用户进行身份验证之前,用户名和密码不会(至少在第一个实例中)传递到请求处理扩展。

此方案给希望在其选择的技术内本地(并以编程方式)执行 HTTP 身份验证的第三方开发技术(例如 CSP)的用户带来了问题。

这里描述的功能克服了这些技术困难,并允许用户在 IRIS 环境中对 Apache 托管的 Web 应用程序执行 HTTP 身份验证。 Apache 用户可以在以下各节中描述的三种方法之间进行选择。

Apache 中的标准 HTTP 身份验证 (mod_auth)

该方法是Apache提供的标准机制(通过mod_auth模块),不涉及Web Gateway。这里提到它是为了完整性。

例如,使用基于 Apache 的身份验证保护 CSP 示例所需的基本参数显示在以下配置块 (httpd.conf) 中:

复制代码
<Location "/csp/samples/">
    AuthType Basic
    AuthName "CSP samples"
    AuthUserFile conf/csp.pwd
    require valid-user
</Location>

其中:

  • AuthType - AuthType 是所需的授权类型(通常是基本)。
  • AuthName - AuthName 是领域。
  • AuthUserFile - AuthUserFile 是保存用户名及其关联密码(以加密形式)的文件(相对于 Web 服务器根目录)。该文件由 Apache htpasswd 实用程序创建和维护。

require 参数列出了可以访问受保护资源的用户(本例中为 CSP 示例)。 valid-user 参数指示必须在用户名/密码文件中定义用户(如 AuthUserFile 中声明的那样)。

java 复制代码
https://httpd.apache.org/docs/2.4/mod/mod_authz_groupfile.html#authgroupfile

在处理请求的同时在 CSP 中进行身份验证。

这是在 Web 应用程序中实现 HTTP 身份验证的首选(也是性能最佳)方法。

使用基于 CSP 的身份验证保护 CSP 示例所需的基本参数显示在以下 Apache 配置块 (httpd.conf) 中:

xml 复制代码
<Location "/csp/samples/"> 
    AuthType Basic 
    AuthName "CSP samples" 
    require valid-user 
    AuthCSPEnable On
    AuthBasicAuthoritative Off
</Location> 

参数 AuthTypeAuthNamerequire 是用于触发身份验证的标准 Apache 参数。

附加的 AuthCSPEnable 参数指示 CSP 模块绕过由 Apache(在 mod_auth 中)执行的身份验证检查,并将用户名和密码以及原始 Web 请求传递到 IRIS 进行身份验证。 Web 应用程序必须使用以下 CGI 环境变量检查用户:

  • AUTH_TYPE:这是基本的。
  • REMOTE_USER:用户名。
  • AUTH_PASSWORD:用户的密码(纯文本)。

如果可以根据这些参数中保存的值成功对用户进行身份验证,则应用程序应继续并处理请求(即返回请求的 CSP 资源)。如果没有,它应该返回一个 HTTP 401 Authorization required 响应,该响应至少应该类似于:

xml 复制代码
HTTP/1.1 401 Authorization Required 
WWW-Authenticate: Basic realm="CSP samples" 
Content-Type: text/html 
Connection: close 
<html> 
<head><title>401 Authorization Required</title>
</head><body> <h1>Authorization Required</h1> 
<p> The server could not verify that you are authorized 
to access the application. Check your username and password. 
</p> 
<hr> 
</body> 
</html> 
```

收到此消息后,浏览器将重新显示登录对话框,除非用户已用完所有登录尝试(通常为 `3` 次),在这种情况下,将显示标题后面的消息。

用户可以通过修改登录页面来实现这种认证方式。如果收到请求并且用户没有运行应用程序所需的权限,则会调用登录页面,该页面的处理可以从请求中提取身份验证信息(例如 `AUTH_TYPE`、`REMOTE_USER` 和 `AUTH_PASSWORD`)。如果这些参数正确,则登录脚本可以将控制重定向到最初请求的应用程序页面。如果部署了 安全控制层,则无需对所有公共页面重复身份验证过程。
相关推荐
谭光志1 小时前
Vibe Coding 时代,程序员该何去何从
前端·后端·ai编程
测试员周周2 小时前
【skills5】一份 spec 生成 k6/JMeter/Locust:性能压测 + 全站截图,上线前的双保险
功能测试·网络协议·测试工具·jmeter·http·自动化·集成测试
酣大智3 小时前
常用 IP 协议号大全(IP 层承载的上层协议)
网络·网络协议·tcp/ip
仿生狮子3 小时前
别再说“全栈”了,AI 时代团队只认这 5 种人
前端·人工智能·后端
kyriewen3 小时前
AI 写的 React 组件,合并前必查的 6 个坏味道——每个都有代码对比
前端·javascript·react.js
Highcharts.js3 小时前
软件开发公司为什么选择 Highcharts?
前端·前端框架·echarts·数据可视化·技术选型·highcharts·图表工具
阿祖zu4 小时前
企业 AI 转型之痛,个人提效十倍不止,组织效率仍止步不前?
前端·aigc·agent
摇滚侠5 小时前
SpringBoot3+Vue3 全套视频教程 45-51
前端·javascript·vue.js
酸梅果茶6 小时前
【6】lightning_lm项目-LIO 前端 -点云预处理模块
前端·slam
Hilaku6 小时前
前端大裁员背后的恐慌:我们还剩什么底牌?
前端·javascript·程序员