Java 客户端调用 Windows 集成身份验证 Web 服务答案

【问题标题】：Java client call to Windows Integated Authentication web serviceJava 客户端调用 Windows 集成身份验证 Web 服务
【发布时间】：2011-05-05 23:54:58
【问题描述】：

我正在编写一个 Java 1.5+ 客户端，它需要从 IIS 托管的 Web 服务中获取数据。我在 Eclipse 中创建了一个新的 Web 服务客户端，并在生成客户端代理时使用了 Java 代理客户端类型和 Apache Axis2 Web 服务运行时。 Web 服务本身在 Windows 2003 上运行，并且安全性设置为仅使用 Windows 集成身份验证。我在网上找到了很多文章，展示了如何从 Java 客户端成功连接到这个 IIS 服务，但我所看到的一切似乎都要求我将用户名和密码放在我的 Java 客户端代码中的某个地方。

我的 Java 客户端将在 Windows 计算机上运行，该计算机与 IIS 服务位于同一 Active Directory 网络上（即我每天登录的帐户都可以访问该服务）。我希望我的 Java 客户端在登录用户的上下文中运行，而无需在代码中输入我的登录凭据。这是我当前的代码，它可以工作，但需要我在代码中输入用户名和密码：

final NTCredentials nt = new NTCredentials("my_username", "my_password", "", "my_domain");
        final CredentialsProvider myCredentialsProvider = new CredentialsProvider() {
            public Credentials getCredentials(final AuthScheme scheme, final String host, int port, boolean proxy) throws CredentialsNotAvailableException {
                return nt; 
            }
        };

        DefaultHttpParams.getDefaultParams().setParameter("http.authentication.credential-provider", myCredentialsProvider);

但我真的不想在代码中输入用户名和密码——我希望它使用运行 Java 客户端的登录 Windows 用户的凭据运行。

我应该使用什么代码来连接登录用户的凭据而不需要指定用户名和密码？这可能吗？

【问题讨论】：

Shawn - Axis2 不（我相信）直接包含 HTTP 客户端代码。我使用 Axis 已经有一段时间了，但那时它需要 Apache httpclient 3。你能确认你正在使用 Axis2 和 HTTPClient 3 吗？
我没有做任何具体的事情来查看或使用 HTTPClient3。我所做的是 1) 右键单击该项目并创建一个新的 Web 服务客户端：右键——新建——其他——Web Services——Web Service Client b.单击下一步 c.指向 Web 服务 WSDL d.将 Meter 设置为最低级别（开发客户端） e.单击 Web 服务运行时的配置链接 – 选择 Apache Axis2 f。完成 2) 使用生成的代理类来使用服务

标签： java security axis2 windows-authentication credentials

【解决方案1】：

我使用 Axis 已经有几年了 - 当时，Axis 依赖于 Apache commons httpclient 3。从阅读一些邮件列表来看，它看起来像 this is still the case。（如果没有，最后一段应该提供一些受欢迎的缓解。）

Apache commons httpclient 3 不支持通过 HTTP 的“集成 Windows 身份验证”（又名与 Kerberos 的协商身份验证机制，又名“SPNEGO”。）事实上，它不支持 NTLMv2，仅支持 NTLMv1，这意味着您'将无法在未经修改的情况下对许多需要 NTLMv2 的 IIS 服务器进行身份验证。

虽然公认的解决方案很严厉，但我认为最好的办法是创建一个新的 AuthScheme，它调用 Windows SSPI 库进行身份验证。不幸的是，您需要使用 JNI 来执行此操作。幸运的是，AuthScheme 已准备好执行基于会话的质询-响应身份验证模式（SPNEGO 在这方面与 NTLM 类似，它已受支持。）基本上，您将 base64 编码输入和输出字节缓冲区到本机 InitializeSecurityContext 调用.我承认，写起来很乏味，但我可以确认它确实允许您对 IIS 服务器执行集成 Windows 身份验证。

（不幸的是，如果您需要您的客户端是跨平台的，您还需要在 Unix 上编写必要的 GSSAPI 代码。）

另一种选择是编写一个使用 Java 的 Kerberos 库 (JAAS) 的新 AuthScheme。老实说，我对这些了解不多，因为它需要与您的系统 kerberos 库分开配置。即，在 Windows 上，您必须编写一些指向您的 Active Directory 服务器的 kerberos 配置文件。在我看来，这听起来并不那么“集成”。如果您将软件分发给客户并且他们希望它“正常工作”，那么这可能不适合您。另外，虽然 JAAS 已经存在了一段时间，但我相信早期版本缺少与 Active Directory 对话所需的一些身份验证机制，因此我认为您需要 Java 6 运行时。

现在，如果我弄错了，您可以将 Axis2 与新的 Apache http-components httpclient 4 一起使用，那么您的状态会好很多。 httpclient 4 支持使用 Java 的 Kerberos 库的 SPNEGO，这意味着一旦您不必编写自己的 AuthScheme，您只需配置您的 C:\WINDOWS\KRB5.INI，您应该能够利用集成 Windows 身份验证.但是，为了避免必须手动配置 JAAS 的步骤，您仍然需要调用本机 SSPI 方法。

【讨论】：

【解决方案2】：

您所描述的功能不是操作系统的功能，而是 Internet Explorer 的功能。您可能应该更好地了解“Windows 身份验证”的真正工作原理（又名 NLTM HTTP 身份验证）。 JCIFS 正在删除向 servlet 容器提供此功能的 ServletFilter。但是，他们的basic description of how NTLM HTTP Authentication works 很有帮助。

一旦您了解了身份验证的工作方式，您就可以实现某种 Axis 插件来提供该功能。

【讨论】：