本文详细阐述了如何在 Spring WebClient 中实现 NTLM 认证,解决了原生 WebClient 不支持 NTLM 的问题。核心方案是开发一个自定义的 `ExchangeFilterFunction`,结合 JCIFS 库来处理 NTLM 认证流程,包括 Type 1、Type 2 和 Type 3 消息交换。教程提供了完整的代码示例和集成方法,帮助开发者在 Spring WebFlux 应用中顺利进行 NTLM 认证。
在企业级应用中,与 Windows 域服务进行交互时,NTLM (NT LAN Manager) 认证是一种常见的挑战。虽然 Spring 的 RestTemplate 结合 Apache HttpClient 可以相对容易地实现 NTLM 认证,但对于基于 Reactor 和 WebFlux 的 WebClient,其内置的认证机制(如 basicAuthentication)并不直接支持 NTLM 协议。这使得许多从 RestTemplate 迁移到 WebClient 的开发者面临如何处理 NTLM 认证的困境。
本文将提供一种在 Spring WebClient 中实现 NTLM 认证的有效方法,通过自定义 ExchangeFilterFunction 并利用 JCIFS 库来处理 NTLM 协议的复杂握手过程。
Spring WebClient 提供了强大的扩展机制,其中 ExchangeFilterFunction 允许我们在请求发送前和响应接收后进行拦截和修改。利用这一特性,我们可以构建一个自定义过滤器来封装 NTLM 认证的逻辑。
NTLM 认证是一个多步骤的挑战-响应过程,通常涉及以下三个消息类型:
我们将使用 JCIFS 库来处理 NTLM 消息的生成和解析,因为它提供了对 NTLM 协议的完整支持。
首先,确保你的项目中包含了 Spring WebFlux 和 JCIFS 库的依赖。
<dependencies>
<!-- Spring WebFlux 依赖 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-webflux</artifactId>
</dependency>
<!-- JCIFS NTLM 库 -->
<dependency>
<groupId>eu.agno3.jcifs</groupId>
<artifactId>jcifs-ng</artifactId>
<version>2.1.9</version> <!-- 请使用最新版本 -->
</dependency>
<!-- 其他可能需要的依赖,例如 Netty -->
<dependency>
<groupId>io.netty</groupId>
<artifactId>netty-handler</artifactId>
</dependency>
</dependencies>接下来,我们将实现 ExchangeFilterFunction 接口,并命名为 NtlmAuthorizedClientExchangeFilterFunction。
import jcifs.ntlmssp.NtlmFlags;
import jcifs.ntlmssp.NtlmPasswordAuthentication;
import jcifs.ntlmssp.Type1Message;
import jcifs.ntlmssp.Type2Message;
import jcifs.ntlmssp.Type3Message;
import jcifs.util.Base64;
import org.springframework.http.HttpHeaders;
import org.springframework.web.reactive.function.client.ClientRequest;
import org.springframework.web.reactive.function.client.ClientResponse;
import org.springframework.web.reactive.function.client.ExchangeFilterFunction;
import org.springframework.web.reactive.function.client.ExchangeFunction;
import reactor.core.publisher.Mono;
import reactor.core.scheduler.Schedulers;
import java.io.IOException;
import java.util.Comparator;
import java.util.List;
import java.util.stream.Collectors;
public final class NtlmAuthorizedClientExchangeFilterFunction implements ExchangeFilterFunction {
private final NtlmPasswordAuthentication ntlmPasswordAuthentication;
private final boolean doSigning;
private final int lmCompatibility;
/**
* 构造函数,初始化 NTLM 认证所需的凭据和配置。
* @param domain 域
* @param username 用户名
* @param password 密码
* @param doSigning 是否启用消息签名
* @param lmCompatibility LM 兼容性级别 (0-5)
*/
public NtlmAuthorizedClientExchangeFilterFunction(String domain, String username, String password, boolean doSigning, int lmCompatibility) {
this.ntlmPasswordAuthentication = new NtlmPasswordAuthentication(domain, username, password);
this.doSigning = doSigning;
this.lmCompatibility = lmCompatibility;
// 设置 JCIFS 的 LM 兼容性级别,影响 NTLMv1/v2 握手
System.setProperty("jcifs.smb.lmCompatibility", Integer.toString(lmCompatibility));
}
@Override
public Mono<ClientResponse> filter(final ClientRequest request, final ExchangeFunction next) {
// NTLM 认证上下文,用于管理认证状态
NtlmContext ntlmContext = new NtlmContext(ntlmPasswordAuthentication, doSigning, lmCompatibility);
try {
// 步骤 1: 发送 Type 1 (Negotiate) 消息
// 首次请求不带认证头,或者带 Type 1 认证头
Type1Message type1 = new Type1Message(
NtlmFlags.NTLMSSP_NEGOTIATE_UNICODE |
NtlmFlags.NTLMSSP_NEGOTIATE_OEM |
NtlmFlags.NTLMSSP_REQUEST_TARGET |
NtlmFlags.NTLMSSP_NEGOTIATE_NTLM |
NtlmFlags.NTLMSSP_NEGOTIATE_ALWAYS_SIGN |
NtlmFlags.NTLMSSP_NEGOTIATE_VERSION |
NtlmFlags.NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY |
NtlmFlags.NTLMSSP_NEGOTIATE_TARGET_INFO |
NtlmFlags.NTLMSSP_NEGOTIATE_128 |
NtlmFlags.NTLMSSP_NEGOTIATE_KEY_EXCH |
NtlmFlags.NTLMSSP_NEGOTIATE_56,
ntlmPasswordAuthentication.getDomain(),
ntlmPasswordAuthentication.getWorkstation()
);
String type1Header = "NTLM " + Base64.encode(type1.toByteArray());
return next.exchange(addNtlmHeader(request, type1Header))
.publishOn(Schedulers.single()) // 确保请求按顺序处理,维持 HTTP keep-alive
.flatMap(clientResponse -> {
List<String> ntlmAuthHeaders = getNtlmAuthHeaders(clientResponse);
if (ntlmAuthHeaders.isEmpty()) {
// 如果没有 NTLM 认证头,可能是不需要 NTLM 或服务器不支持
// 或者这是一个需要 NTLM 认证但服务器返回了其他错误
// 此时可以根据业务需求选择抛出错误或直接返回响应
return Mono.just(clientResponse);
}
String ntlmHeader = ntlmAuthHeaders.get(0); // 获取 Type 2 挑战
if (ntlmHeader.length() <= 5) { // "NTLM " 至少5个字符
return Mono.error(new IOException("Invalid NTLM challenge header: " + ntlmHeader));
}
try {
byte[] type2Bytes = Base64.decode(ntlmHeader.substring(5));
Type2Message type2 = new Type2Message(type2Bytes);
// 步骤 2: 接收 Type 2 (Challenge) 消息,并生成 Type 3 (Authenticate) 消息
Type3Message type3 = new Type3Message(
type1,
type2,
ntlmPasswordAuthentication.getPassword(),
ntlmPasswordAuthentication.getDomain(),
ntlmPasswordAuthentication.getUsername(),
ntlmPasswordAuthentication.getWorkstation()
);
String type3Header = "NTLM " + Base64.encode(type3.toByteArray());
return next.exchange(addNtlmHeader(request, type3Header)); // 再次发送请求,带 Type 3 认证头
} catch (IOException e) {
return Mono.error(new IOException("Failed to process NTLM challenge", e));
}
});
} catch (IOException e) {
return Mono.error(new IOException("Failed to initialize NTLM authentication", e));
}
}
/**
* 从响应头中提取 NTLM 认证相关的 WWW-Authenticate 头。
* @param clientResponse 客户端响应
* @return 包含 NTLM 认证头的列表
*/
private static List<String> getNtlmAuthHeaders(ClientResponse clientResponse) {
List<String> wwwAuthHeaders = clientResponse.headers().header(HttpHeaders.WWW_AUTHENTICATE);
return wwwAuthHeaders.stream()
.filter(h -> h.startsWith("NTLM"))
.sorted(Comparator.comparingInt(String::length)) // 优先处理更长的头(包含挑战信息)
.collect(Collectors.toList());
}
/**
* 为请求添加 NTLM 认证头。
* @param clientRequest 原始请求
* @param ntlmPayload NTLM 认证字符串 (Type 1 或 Type 3)
* @return 添加了认证头的新请求
*/
private ClientRequest addNtlmHeader(ClientRequest clientRequest, String ntlmPayload) {
return ClientRequest.from(clientRequest)
.header(HttpHeaders.AUTHORIZATION, ntlmPayload)
.build();
}
// 内部类用于管理 NTLM 认证状态,方便在 filter 方法中追踪
private static class NtlmContext {
private final NtlmPasswordAuthentication ntlmPasswordAuthentication;
private final boolean doSigning;
private final int lmCompatibility;
public NtlmContext(NtlmPasswordAuthentication ntlmPasswordAuthentication, boolean doSigning, int lmCompatibility) {
this.ntlmPasswordAuthentication = ntlmPasswordAuthentication;
this.doSigning = doSigning;
this.lmCompatibility = lmCompatibility;
}
// 可以根据需要添加更多方法来处理 NTLM 状态
}
}代码解释:
在创建 WebClient 实例时,通过 filter() 方法将自定义的 NtlmAuthorizedClientExchangeFilterFunction 添加进去。
import org.springframework.web.reactive.function.client.WebClient;
public class NtlmWebClientConfig {
public WebClient ntlmWebClient() {
// 替换为你的 NTLM 凭据和配置
String domain = "YOUR_DOMAIN";
String username = "YOUR_USERNAME";
String password = "YOUR_PASSWORD";
boolean doSigning = true; // 是否启用消息签名,通常建议启用
int lmCompatibility = 3; // 推荐设置为 3 或更高
NtlmAuthorizedClientExchangeFilterFunction ntlmFilter =
new NtlmAuthorizedClientExchangeFilterFunction(domain, username, password, doSigning, lmCompatibility);
return WebClient.builder()
.filter(ntlmFilter) // 添加自定义 NTLM 过滤器
.baseUrl("https://my.ntlm.protected.url.com") // 你的目标服务地址
.build();
}
public static void main(String[] args) {
NtlmWebClientConfig config = new NtlmWebClientConfig();
WebClient webClient = config.ntlmWebClient();
webClient.get()
.uri("/some/resource")
.retrieve()
.bodyToMono(String.class)
.doOnNext(response -> System.out.println("NTLM 认证成功,响应: " + response))
.doOnError(error -> System.err.println("NTLM 认证失败或请求错误: " + error.getMessage()))
.block(); // 在非 WebFlux 应用中用于阻塞等待结果
}
}通过实现自定义的 ExchangeFilterFunction 并结合 JCIFS 库,我们成功地为 Spring WebClient 增加了 NTLM 认证的能力。这种方法充分利用了 WebClient 的扩展点,使得开发者能够应对复杂的认证协议,同时保持响应式编程模型的优势。虽然当前用户上下文认证仍是一个挑战,但对于大多数需要显式凭据的 NTLM 场景,上述方案提供了一个清晰且可行的解决方案。
以上就是Spring WebClient NTLM 认证:通过自定义过滤器实现的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
967
收藏
