關於JSP Basic表單驗證的資料及個人實踐總結

什麼是BASIC驗證？讀者經常會看到這樣的登入介面（IE下的）：

例如Tomcat的Manager應用：http://localhost:8080/mananager即是這樣登入的。

好，先看下面的JSP代碼，讀者自行測試：

<%
　　response.addHeader("WWW-Authenticate", "Basic realm="Please Login"");
　　response.sendError(401, "Unauthorized");
%>

看到了吧，彈出了類似的對話方塊。

下面的代碼就直接抄PHP/JSP/ASP 實現基本驗證一文的內容了：

JSP 就沒那麼簡單了，需要先擷取 [i]Authorization[/i] 的頭，然後截取使用者名稱、密碼部分，對其進行 base64 解碼，最後使用冒號 “:”分割字串，分別得到解碼之後的使用者名稱、密碼進行驗證比較：

下面是代碼：

// 進行 HTTP 驗證 (Basic Authorization)
String auth_user = "", auth_pass = "";
String auth = request.getHeader("Authorization");
if (auth != null && auth.toUpperCase().startsWith("BASIC")) {
　　String encoded = auth.substring(6);
　　sun.misc.BASE64Decoder dec = new sun.misc.BASE64Decoder();
　　String decoded = new String(dec.decodeBuffer(encoded));
　　String[] userAndPass = decoded.split(":", 2);
　　auth_user = userAndPass[0];
　　auth_pass = userAndPass[1];
}　 //end if
if (!auth_user.equals("admin") || !auth_pass.equals("password")) {
　　//　帳號或密碼不正確，無法通過驗證！
　　response.setStatus(401);
　　response.setHeader("WWW-Authenticate", "Basic realm="My Realm"");
} else {
　　// 驗證通過，可以進行其他業務操作了　
}　 //end if