在 Java 应用程序中使用 NTLM 身份验证

【问题标题】:Using NTLM authentication in Java applications在 Java 应用程序中使用 NTLM 身份验证
【发布时间】:2013-02-07 20:49:11
【问题描述】:

我想在我的 Java 应用程序中使用 Windows NTLM 身份验证来透明地对 Intranet 用户进行身份验证。如果使用他们的浏览器(单点登录),用户应该不会注意到任何身份验证。

我找到了一些支持 NTLM 的库,但不知道该使用哪一个:

有什么建议从哪里开始吗?

【问题讨论】:

  • 另外请注意,在使用 NTLM 进行身份验证时,主动攻击者可以authenticate their own session 使用有效用户与服务器的协商。

标签: java windows security authentication ntlm


【解决方案1】:

在上面的列表中,只有 ntlmv2-auth 和 Jespa 支持 NTLMv2。 Jespa 是可行的,但商业化的。 ntlmv2-auth 我没有尝试过,但它基于 Liferay 的代码,我以前见过它。

'ntlm-authentication-in-java' 只是 NTLMv1,它是旧的、不安全的,并且随着人们升级到较新的 Windows 版本,它在越来越少的环境中工作。 JCIFS 曾经有一个 NTLMv1 HTTP 身份验证过滤器,但在以后的版本中被删除,因为它的实现方式相当于对不安全协议的中间人攻击。 ('ntlm-authentication-in-java' 似乎也是如此。)

“spnego”项目是 Kerberos 而不是 NTLM。如果您想像 IIS 那样复制完整的 IWA,您需要同时支持 NTLMv2 和 Kerberos('NTLM' auth、'Negotiate' auth、NTLMSSP-in-SPNego auth 和 NTLM-masquerading-as-Negotiate auth)。

【讨论】:

  • Waffle 也是一个很好的选择,只用于 WIndows 服务器,已经使用了 3 年,每天在多个站点的数千次登录没有问题,支持 v2
  • jcifs.samba.org/src/docs/faq.html#ntlmv2 >问:jCIFS 是否支持 NTLMv2? >答:是的。从 1.3.0 开始,JCIFS 完全支持 NTLMv2 并默认使用它。`Note: The NTLM HTTP SSO Filter that used to be included with JCIFS cannot support NTLMv2.
【解决方案2】:

Luigi Dragone 的脚本真的很老,而且似乎总是失败。

如果您添加库jcifs,HttpURLConnection 可以与 NTLM 一起使用,此示例与最新的jcifs-1.3.18 一起使用:

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import java.net.UnknownHostException;
import java.util.HashMap;
import java.util.Map;

import org.apache.http.impl.auth.NTLMEngineException;

public class TestNTLMConnection {
    public static void main(String[] args) throws UnknownHostException, IOException, NTLMEngineException {
        // Method 1 : authentication in URL
        jcifs.Config.registerSmbURLHandler();
        URL urlRequest = new URL("http://domain%5Cuser:pass@127.0.0.1/");

        // or Method 2 : authentication via System.setProperty()
        // System.setProperty("http.auth.ntlm.domain", "domain");
        // System.setProperty("jcifs.smb.client.domain", "domain");
        // System.setProperty("jcifs.smb.client.username", "user");
        // System.setProperty("jcifs.smb.client.password", "pass");
        // Not verified // System.setProperty("jcifs.netbios.hostname", "host");
        // System.setProperty("java.protocol.handler.pkgs", "jcifs");
        // URL urlRequest = new URL("http://127.0.0.1:8180/simulate_get.php");

        HttpURLConnection conn = (HttpURLConnection) urlRequest.openConnection();

        StringBuilder response = new StringBuilder();

        try {
            InputStream stream = conn.getInputStream();
            BufferedReader in = new BufferedReader(new InputStreamReader(stream));

            String str = "";
            while ((str = in.readLine()) != null) {
                response.append(str);
            }
            in.close();   

            System.out.println(response);
        } catch(IOException err) {
            System.out.println(err);
        } finally {
            Map<String, String> msgResponse = new HashMap<String, String>();

            for (int i = 0;; i++) {
                String headerName = conn.getHeaderFieldKey(i);
                String headerValue = conn.getHeaderField(i);
                if (headerName == null && headerValue == null) {
                    break;
                }
                msgResponse.put(headerName == null ? "Method" : headerName, headerValue);
            }

            System.out.println(msgResponse);
        }
    }
}

如果您对每次握手的内容感到好奇,您可以在thread 上找到另一个使用 jcifs 和 Socket 的示例。

【讨论】:

  • 你能把那个URL部分说清楚一点吗,我的意思是如何传递用户名和密码
  • %5C 是反斜杠。例如 h-t-t-p://CORP\username:password@127.0.0.1/
  • 第一种方法给我带来了复杂 url 的问题,但注释掉 Method2 在 Windows Server 2012 上使用 Java 1.7 和 jcifs 1.3.17 对 IIS 效果很好。
【解决方案3】:

最近不得不在工作中实现这一点,因此这里是使用 Spring 的 RestTemplate 更新的解决方案:

import org.apache.http.auth.AuthScope;
import org.apache.http.auth.NTCredentials;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.apache.http.impl.client.HttpClients;
import org.springframework.http.HttpEntity;
import org.springframework.http.ResponseEntity;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.web.client.RestTemplate;

import java.io.IOException;

public class Runner {
    
    public static void main(String[] args) {
        var credentialsProvider = new BasicCredentialsProvider();
        credentialsProvider.setCredentials(AuthScope.ANY, new NTCredentials("username", "password", "", "someDomain"));
        try (var client = HttpClients.custom()
                .setDefaultCredentialsProvider(credentialsProvider)
                .build();) {
            var requestFactory = new HttpComponentsClientHttpRequestFactory();
            requestFactory.setHttpClient(client);
            RestTemplate restTemplate = new RestTemplate(requestFactory);
            ResponseEntity<String> stringResponseEntity = restTemplate.postForEntity("url", new HttpEntity<>("yourDtoObject"), String.class);
        } catch (IOException e) {
            e.printStackTrace();
        }

    }
}

需要的依赖是:spring-weborg.apache.httpcomponents

ps:输入用户名没有域很重要,否则它不起作用。就像您的域是公司名/用户名一样,人们通常只是将整个内容作为用户名输入,而您应该分别输入它们,其中 domain="companyName" 和 username="username"

【讨论】:

    【解决方案4】:

    参考:https://jcifs.samba.org/src/docs/faq.html#ntlmv2

    问:jCIFS 是否支持 NTLMv2?
    答:是的。从 1.3.0 开始,JCIFS 完全支持 NTLMv2 并默认使用它。

    注意:以前包含在 JCIFS 中的 NTLM HTTP SSO 过滤器不支持 NTLMv2。

    【讨论】:

      【解决方案5】:

      相对于你给出的列表,我会选择JCIFS。 这个库很成熟,他们的文档很好。 最重要的是,他们有相当定期的发布,最后一个是 2011 年 11 月。

      Personal Experience : 与我尝试过的其他产品(spnego 和 ntmv2auth)相比,它相当容易上手

      【讨论】:

      • JCIFS 不支持 NTLMv2(即 Windows 7/8),除非通过全局策略或注册表更改在客户端计算机上明确启用。
      • 您能否澄清一下您所说的 Windows 7/8 中的显式设置是什么意思?
      • @MiroslavLigas。我认为他的意思是 Win 7/8 不再使用 NTLMv1,因为它已被弃用并被认为对漏洞开放。现在,如果 JCIFS 仅支持 NTLMv1,那么您需要强制您的 Win 7/8 桌面允许使用 NTLMv1(通过更改 Win 注册表来完成),以便此类桌面与 JCIFS 一起使用。在大多数公司中,管理员永远不会允许这样的更改。出于所有实际目的,NTLMv1 已死!
      • "JCIFS 使用加密技术,包括 RC4 128(用于 NTLMv2)和 AES 256(用于 Kerberos)进行身份验证、数字签名和加密。假设使用加密技术并从美国出口到其他国家的产品获得出口分类。”是我在jcifs.samba.org 的第一页上找到的...并且该条目是从 2009 年开始的,所以我根据 Tony 的假设将其称为 $hit。不过我从来没有测试过...
      • @thecarpy - JCIFS 使用 NTLMv2 作为 CIFS 客户端。 JCIFS 中的 HTTP 位从不支持 NTLMv2,也永远不会。 JCIFS 中的所有 HTTP 内容均已弃用并将被删除。
      猜你喜欢
      • 2012-08-03
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-01-06
      • 1970-01-01
      • 1970-01-01
      • 2015-06-23
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode