獲取連接到Web服務器的客戶端的用戶名

Question

以下是該場景。我是在AD域中的Web服務器上運行的代碼。有些客戶已連接到我。如何讓客戶的用戶名無需客戶在瀏覽器中填寫表單？必須在Web服務器端使用Java技術。

編輯：

我最終使用於以下鏈接描述的春季安全協商篩選。有一個教程可用。使用request.getPrincipal（）。getName（）從一個servlet中提供用戶名。

http://waffle.codeplex.com/

Answer 1

您需要設置Spring Security Kerberos extension - 這是您在Spring Security 3中完成描述的唯一方法。它支持SPNEGO協商，但需要在服務器上進行一些設置（以及知識SPNEGO和Kerberos如何工作）。

沒有太多的文檔 - 但Mike 1.0M2的示例應用程序非常棒，涵蓋了大多數常見的場景，包括自動化的SPNEGO身份驗證。

爲SPNEGO的關鍵是要建立一個自定義的AuthenticationEntryPoint - 你需要有一個自定義的Spring bean要做到這一點，如下所示：

<bean id="kerbEntryPoint" class="org.springframework.security.extensions.kerberos.web.SpnegoEntryPoint" /> 

<bean id="kerbAuthenticationProcessingFilter" class="org.springframework.security.extensions.kerberos.web.SpnegoAuthenticationProcessingFilter"> 
    <property name="authenticationManager" ref="authenticationManager" /> 
</bean> 

...還有更多的bean會除此之外還需要（同樣，請參閱帶有Kerberos擴展的樣本）。如果您與Spring Security進一步協作或需要確切的詳細信息（因爲涉及到一些bean/config位，有些配置知識會對您有所幫助，例如您是否使用<http>命名空間樣式）。

除了這個選項，你將不得不建立一個類似的SPNEGO身份驗證類型（如使用WAFFLE，正如你所建議的） - other SO questions涵蓋了這個很好。

最後，您可能會更好地將Tomcat與支持SPNEGO或NTLM的另一個Web服務器（如Microsoft IIS或Apache Web Server）相關聯，其中包括mod_spnego。

希望其中的一個想法能爲你效勞！

Answer 2

for Windows來做到這一點是SPNEGO的最新方法。爲了使其充分發揮作用，您需要使用服務器在AD中擁有一個帳戶，並與Kerberos通信。然後，我被告知，Spring Security支持這一點。

現在，並不總是需要授權用戶。有時（例如出於統計的原因）足以獲得用戶的AD ID。當我在玩SPNEGO時，從瀏覽器傳來的二進制數據包含了明文形式的用戶標識。它可以從那裏提取，但當然不能被信任。

NTLM已過時，被認爲不太安全，並且很大程度上從環境中推出。

Answer 3

您的用戶使用哪種瀏覽器？如果IE;有一個簡單的解決方案：

<html> 
<script type="text/javascript"> 
var WinNetwork = new ActiveXObject("WScript.Network"); 
alert(WinNetwork.UserName); 
</script> 
</html> 

Answer 4

如果您使用Tomcat，然後使用WAFFLE。

Answer 5

我敢打賭，你可以把Apache Web服務器放在Tomcat的前面，這樣Apache可以使用NTLM或Kerberos進行身份驗證。然後，您可以使用重寫規則將請求以普通用戶名的形式發送給tomcat。這只是一個想法，我沒有自己實現。但是，我們在Intranet中使用Apache Kerberos身份驗證。我的建議是不使用NTLM，它是過時和片狀。