Java 客户端调用 Windows 集成身份验证 Web 服务

Question

我正在编写一个 Java 1.5+ 客户端，它需要从 IIS 托管的 Web 服务中获取数据。我在 Eclipse 中创建了一个新的 Web 服务客户端，并在生成客户端代理时使用了 Java Proxy 客户端类型和 Apache Axis2 Web 服务运行时。 Web 服务本身在 Windows 2003 上运行，安全性设置为仅使用 Windows 集成身份验证。我在网上找到了很多文章，介绍了如何从 Java 客户端成功连接到此 IIS 服务，但我所看到的一切似乎都要求我将用户名和密码放在我的 Java 客户端代码中的某个地方。

我的 Java 客户端将在 Windows 计算机上运行，​​该计算机与 IIS 服务位于同一 Active Directory 网络上(即我每天登录的帐户都可以访问该服务)。我希望我的 Java 客户端在登录用户的上下文中运行，而无需在代码中输入我的登录凭据。这是我当前的代码，它可以工作，但需要我在代码中输入用户名和密码:

final NTCredentials nt = new NTCredentials("my_username", "my_password", "", "my_domain");
        final CredentialsProvider myCredentialsProvider = new CredentialsProvider() {
            public Credentials getCredentials(final AuthScheme scheme, final String host, int port, boolean proxy) throws CredentialsNotAvailableException {
                return nt; 
            }
        };

        DefaultHttpParams.getDefaultParams().setParameter("http.authentication.credential-provider", myCredentialsProvider);

但我真的不想在代码中输入用户名和密码——我希望它使用运行 Java 客户端的已登录 Windows 用户的凭据运行。

我应该使用什么代码才能连接到登录用户的凭据而不需要指定用户名和密码？这可能吗？

Answer 1

自从我使用 Axis 以来已经有几年了 - 然后，Axis 依赖于 Apache commons httpclient 3。通过阅读一些邮件列表，它看起来像 this is still the case . (如果没有，最后一段应该提供一些令人欣慰的安慰。)

Apache commons httpclient 3 不支持 HTTP 上的“集成 Windows 身份验证”(又名与 Kerberos 协商身份验证机制，又名“SPNEGO”。)事实上，它不支持 NTLMv2，仅支持 NTLMv1，这意味着您如果不进行修改，将无法向许多需要 NTLMv2 的 IIS 服务器进行身份验证。

尽管不可否认这是一个严厉的解决方案，但我认为您最好的选择是创建一个新的 AuthScheme，它调用 Windows SSPI 库来进行身份验证。不幸的是，您将需要使用 JNI 来执行此操作。幸运的是，AuthScheme 已准备好执行基于 session 的质询-响应身份验证模式(SPNEGO 在这方面与 NTLM 类似，后者已受支持。)基本上，您将对输入和输出字节缓冲区进行 base64 编码以调用 native InitializeSecurityContext .编写起来很乏味，我承认，但我可以确认它确实允许您对 IIS 服务器执行集成 Windows 身份验证。

(不幸的是，如果您需要您的客户端是跨平台的，您还需要在 Unix 上编写必要的 GSSAPI 代码。)

另一种选择是编写一个使用 Java 的 Kerberos 库 (JAAS) 的新 AuthScheme。老实说，我对这些了解不多，因为它需要与您的系统 kerberos 库分开配置。即，在 Windows 上，您必须编写一些指向 Active Directory 服务器的 kerberos 配置文件。在我看来，这听起来并没有那么“综合”。如果您要将软件分发给客户并且他们希望它“正常工作”，那么这对您来说可能行不通。另外，虽然 JAAS 已经存在了一段时间，但我相信早期版本缺少一些与 Active Directory 对话所需的身份验证机制，因此我认为您需要 Java 6 运行时。

现在，如果我弄错了，并且您可以将 Axis2 与新的 Apache http-components httpclient 4 一起使用，那么您的情况就好多了。 httpclient 4 支持使用 Java 的 Kerberos 库的 SPNEGO，这意味着一旦您不必编写自己的 AuthScheme，您只需配置您的 C:\WINDOWS\KRB5.INI，您应该能够利用集成 Windows 身份验证.但是，为了避免必须配置 JAAS 的手动步骤，您仍然需要调用 native SSPI 方法。