【Android】Http Digest 认证在android平台的实现
课题:
编写一个Android应用,访问一个基于Http服务的数据服务系统,为了提高安全性,该数据服务系统采用了Http Digest认证体系,理由是,相比基本认证方式而言,Digest认证可以保证认证信息(用户名和密码)的传输安全,同时比SSL简单易用。在使用浏览器访问时,会提示一个用户名和密码对话框,但如果是程序访问,就需要在程序访问过程中编程提供认证信息。
要求:
-- 在程序中可以设置用户名和密码
-- 可以通过网络访问基于Digest认证和Http数据服务(JSON格式)
-- 使用Android基本库,不使用其他扩展库(基于兼容性考虑)
-- 支持Android2.2以上系统
-- 技术实现简单清晰
实现:
网络上提供的一些解决方案都有一些问题,如需要使用第三方的类库,创建认证器,手工设置请求参数等等,都比较麻烦,而且问题很多,经过摸索,我在程序中实现了基于Android标准库的认证过程,实现思路、过程和示例代码如下:
基础逻辑是:
--- 使用HttpClient(DefaultHttpClient)类连接服务器并获取数据
DefualtHttpClient 类:创建client对象
excuete(HttpGet)方法:执行连接和获取,参数是一个HttpGet对象
HttpGet类:基于url创建HttpGet对象
HttpResponse类: execute的返回值
getEntiry().getContent() 方法:获取数据流
--- 该client访问需要认证的资源需要一个认证方法,就需要设置一个认证提供者
client的 setCredentialsProvider(bcp) 方法:设置认证提供者
BasicCredentialsProvider 类:创建认证提供者实例
setCredentials 方法:设置AuthScope和UsernamePasswordCredentials类
AuthScope类:认证范围,基于主机,端口和领域构建
UsernamePasswordCredentials:基于用户名和口令的证书,基于用户名和口令构建
实现代码如下:
// 1. 获取并设置url地址,一个字符串变量,一个URL对象
String urlStr ="http://<host>:<port>/data.json";
URL url= new URL(urlStr);
// 2. 创建一个密码证书,(UsernamePasswordCredentials类)
String username="foo";
String password="bar";
UsernamePasswordCredentials upc = new UsernamePasswordCredentials(username, password);
// 3. 设置认证范围 (AuthScore类)
String strRealm = "<mydomain>";
String strHost = url.getHost();
int iPort = url.getPort();
AuthScope as = new AuthScope(strHost, iPort, strRealm);
// 4. 创建认证提供者(BasicCredentials类) ,基于as和upc
BasicCredentialsProvider bcp=new BasicCredentialsProvider();
bcp.setCredentials(as, upc);
// 5. 创建Http客户端(DefaultHttpClient类)
DefaultHttpClient client=new DefaultHttpClient();
// 6. 为此客户端设置认证提供者
client.setCredentialsProvider(bcp);
// 7. 创建一个get 方法(HttpGet类),基于所访问的url地址
HttpGet hg= new HttpGet(urlStr);
// 8. 执行get方法并返回 response
HttpResponse hr = client.execute(hg);
// 9. 从response中取回数据,使用InputStreamReader读取Response的Entity:
String line=null;
StringBuilder builder = new StringBuilder();
BufferedReader reader = new BufferedReader(new InputStreamReader(hr.getEntity().getContent() ));
while((line = reader.readLine()) != null) builder.append(line);
strContent=builder.toString();
总结
--- 对比Java中的实现,可以看到Andriod中的apache.http库和commons-httpclient库有比较大的结构和实现上的差异,这个原因导致了基于Java的实现不能直接移植到Android上。
--- 上述的实现简单、逻辑清楚而容易理解,并且不涉及到更复杂的Digest认证的技术细节,而是由CredentialsProvider封装了。
--- 上述实现没有使用通常的connection类,而是client类,提供更丰富的连接和状态控制功能,相比较而言,connection更加简单
--- 用户名和密码作为认证框架中的参数而不是http request的组成部分,更加安全
--- 这里没有讨论服务器端的实现,实际上我是通过Rails来实现http digest的。但理论上这种认证方式是标准。