客戶(hù)端認證

客戶(hù)端的入口函數為 KerberosAuthenticator.authenticate函數

連接HTTP服務(wù)端

HttpURLConnection conn = token.openConnection(url, connConfigurator);
conn.setRequestMethod(AUTH_HTTP_METHOD);
conn.connect();

SPNEGO認證

對于普通的HTTP的kerberos認證(SPNEGO)，需要現在客戶(hù)端登錄KDC服務(wù)。核心代碼在函數doSpnegoSequence里面。

首先需要登錄KDC服務(wù)端：

subject = new Subject();
LoginContext login = new LoginContext("", subject,
    null, new KerberosConfiguration());
// 登錄KDC服務(wù)
login.login();

下面主要是開(kāi)始認證的時(shí)候的邏輯。核心處理邏輯流程圖如下：

主要代碼邏輯如下。

GSSManager gssManager = GSSManager.getInstance();
// 設置服務(wù)端的域名，由于是HTTP協(xié)議，所以當前要求principal的格式為：HTTP/HOST_NAME的方式。
String servicePrincipal = KerberosUtil.getServicePrincipal("HTTP",
    KerberosAuthenticator.this.url.getHost());
Oid oid = KerberosUtil.NT_GSS_KRB5_PRINCIPAL_OID;
GSSName serviceName = gssManager.createName(servicePrincipal,
                                            oid);
oid = KerberosUtil.GSS_KRB5_MECH_OID;
// 創(chuàng  )建獲取token的上下文信息。
gssContext = gssManager.createContext(serviceName, oid, null,
                                      GSSContext.DEFAULT_LIFETIME);
gssContext.requestCredDeleg(true);
gssContext.requestMutualAuth(true);

byte[] inToken = new byte[0];
byte[] outToken;
boolean established = false;

// Loop while the context is still not established
while (!established) {
  HttpURLConnection conn =
      token.openConnection(url, connConfigurator);
  // 獲取客戶(hù)端的token。對于第一次的場(chǎng)景，inToken為空。
  // 對于中間過(guò)程，需要將服務(wù)端給的token傳進(jìn)去校驗。
  outToken = gssContext.initSecContext(inToken, 0, inToken.length);
  if (outToken != null) {
	// 將token發(fā)送給服務(wù)端
    sendToken(conn, outToken);
  }

  if (!gssContext.isEstablished()) {
    // 讀取服務(wù)端發(fā)送的token。
	inToken = readToken(conn);
  } else {
	// 認證完成,認證結束
    established = true;
  }
}

認證完成/無(wú)須認證

如果HTTP服務(wù)端返回的是HTTP_OK，則認為服務(wù)端是不需要認證的，或者是已經(jīng)認證完成了。在已經(jīng)完成認證的場(chǎng)景下，
需要解析Token。

AuthenticatedURL.extractToken(conn, token);
if (isTokenKerberos(token)) {
  return;
}
needFallback = true;

其他自定義

其他自定義認證的場(chǎng)景，可以通過(guò)指定Authenticator的方式實(shí)現，具體實(shí)現可以自定義，主要保證服務(wù)端和客戶(hù)端一致即可。

// 當前主要適用于對認證方式需要擴展的場(chǎng)景。
Authenticator auth = getFallBackAuthenticator();
auth.setConnectionConfigurator(connConfigurator);
auth.authenticate(url, token);

服務(wù)端認證

初始化

服務(wù)端初始化的入口函數類(lèi)為AuthenticationFilter， 可以在web啟動(dòng)的時(shí)候將當前filter配置為AuthenticationFilter。用來(lái)實(shí)現服務(wù)端認證功能。

其中函數init為filter的初始化函數，主要作用是加載authHandler以及其他參數。在加載完authHandler之后會(huì )調用authHandler的init函數。
用來(lái)初始化authHandler。KerberosAuthenticationHandler就是一種authHandler。在初始化的時(shí)候會(huì )加載keytab和principal等信息。
并且初試化gssManager。

認證

認證的入口函數filter函數。對于大部分的authHandler，最終認證都是調用authHandler的authenticate函數。針對KerberosAuthenticationHandler來(lái)講。

在需要認證的時(shí)候返回401，如下代碼：

response.setHeader(WWW_AUTHENTICATE, KerberosAuthenticator.NEGOTIATE);
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

通過(guò)下面代碼獲取客戶(hù)端Token?？蛻?hù)端的Token對應的keytab必須包含HTTP/*

authorization = authorization.substring(KerberosAuthenticator.NEGOTIATE.length()).trim();
final Base64 base64 = new Base64(0);
final byte[] clientToken = base64.decode(authorization);

在與客戶(hù)端的認證的過(guò)程中，可能會(huì )需要多次交換token（參考客戶(hù)端流程），如果是在交互過(guò)程中，http請求的返回碼是401。如果認證成功，狀態(tài)碼則是200.