Java HTTP NTLM 实现差异

Question

此链接详细介绍了各种http 客户端java 实现。我正在寻找任何可以提供有关 NTLM 协议实现差异信息的链接。

在一台 Windows 机器上，我发现 commons-http 客户端 3.1 实现失败并出现授权错误（http 状态代码 401），但 java 1.5 实现成功。由于 NTLM 身份验证协议的 java 1.5 实现不是开源的，因此我无法比较这两个实现来了解可能出现的问题。

更新 1

我知道 commons http 客户端不支持 NTLM v2。这个链接提供了各种java http客户端实现之间的比较，并提到apache http客户端提供了 >部分 NTLM 协议的实现。它没有详细介绍它。

在进一步解决问题时，我还发现 此链接 提供的 NTLM 实现与 < a href="http://www.innovation.ch/" rel="nofollow">HTTPClient 在 Windows 机器上工作（公共 http 客户端实现不能像我上面提到的那样工作）。

更新2

通过嗅探数据包（使用wireshack），我意识到commons http客户端3.1 ntlm协议实现不会在类型3消息中生成NTLM响应。这是由 JDK 实现生成的。您是否知道任何服务器/客户端设置表明如果 NTLM 响应数据为空，身份验证将失败？ （因为我们面临的身份验证失败只能在一台计算机上重现。在其他地方身份验证会成功。）

Answer 1

Commons httpclient 3.1 不实现 NTLMv2，它仅实现较旧的 NTLM（又名 NTLMv1）规范。

Answer 2

我们找到了这个问题的根本原因。导致身份验证错误的配置设置由名为 NoLMHashPolicy 的安全策略控制。启用此策略意味着 Windows 服务器将不再存储任何密码的 LM 哈希值，并将使用 NT 响应哈希来进行身份验证。由于来自 commons http 客户端 3.1 库的 NTLM 协议实现根本不计算 NT 响应，因此在启用此设置时可能会遇到此错误。有关此设置的更多详细信息，请访问此处。

作为一种解决方案，人们可​​以只添加 AuthScheme 接口的实现，并从更高版本的 commons http 客户端库（例如 4.1.2）中提取代码，该代码计算类型 3 消息中的 NT 响应。不要忘记更新 NT 响应字段的长度和偏移值。
一旦 AuthScheme 接口的实现准备就绪，就可以使用 AuthPolicy.registeryScheme() 方法进行注入。