一种基于Weblogic容器的鉴权设计

liuming794

　　服务器对请求的鉴权可以在请求头中加Authorization之类的key，将用户名、密码保存到此key对应的value中，当然对于用户名、密码这种高机密的信息，应该对其进行加砂加密等，最简单的方法如下：

String  vuser_id = "weblogic";
String  vuser_pwd = "weblogic";;
String loginInfo = vuser_id + ":" + vuser_pwd;
loginInfo = new BASE64Encoder().encode(loginInfo.getBytes("iso-8859-1"));
method.addRequestHeader("Authorization", "JAAS " + loginInfo);
　　在服务器端对其进行反向处理即可，如下所示：

String authorization = request.getHeader("Authorization");
if (StringUtils.isEmpty(authorization)){
throw new Exception("非法请求!");
}
authorization = authorization.substring("JAAS ".length(),authorization.length());
authorization = BASE64.decryptBASE64(authorization,this.httpHeaderEncoding);
Map<String,String> loginInfo = new HashMap<String,String>();
String[] tp = authorization.split(":");
loginInfo.put("userID", tp[0]);
loginInfo.put("password", tp[1]);
　　然后进行weblogic的登录操作：

int status = weblogic.servlet.security.ServletAuthentication.login(userID,passworod,request,response);
if(status == weblogic.servlet.security.ServletAuthentication.AUTHENTICATED){
return true;
}else{
throw new LoginException("认证失败!");
}
　　当然，为了降低服务器的认证压力，可以在服务器端做一个缓存，用于保存成功登录过的用户。简单来看，可以保存在ConcurrentHashMap中，key为用户ID，value为密码等。当用户请求过来时，首先根据用户ID从ConcurrentHashMap中获取，如能获取，则简单比较缓存中的密码和这次用户传入的密码是否相等，相等则认为认证通过，否则清空缓存重新认证，如果认证成功，则又将用户登录信息缓存起来。