Apache HTTP Client 5.3版本之后，NTCredentials不再有效

Question

我正在开展一个项目，该项目使用了org.apache.httpcomponents.client5:httpclient5库。近期，我尝试将该库从5.2.3版本升级到5.3版本，却发现升级后认证功能不再正常工作。

以下是相关代码片段：

BasicCredentialsProvider credentialsProvider = 
    new BasicCredentialsProvider();
credentialsProvider.setCredentials(
    new AuthScope(host, port), 
    new NTCredentials(username, password.toCharArray(), "", "")
);
httpclient = HttpClients.custom()
    .setDefaultCredentialsProvider(credentialsProvider)
    .build();
[...]
HttpGet httpget = new HttpGet(targetUrl);

CloseableHttpResponse response = httpclient.execute(httpget);

在从5.2.3升级到5.3之前，这段代码运行一切正常。然而，当我使用5.3版本时，现在却收到401未授权的响应。

此外，我还尝试了几种不同的方式来传递凭证，但它们都只返回401未授权错误：

httpclient = HttpClients.custom()
    .setDefaultCredentialsProvider(CredentialsProviderBuilder.create()
        .add(new HttpHost(host, port), username, password.toCharArray())
        .build())
    .build();

credentialsProvider.setCredentials(
    new AuthScope(host, port), 
    new UsernamePasswordCredentials(username, password.toCharArray())
);

SystemDefaultCredentialsProvider credentialsProvider = 
    new SystemDefaultCredentialsProvider();
credentialsProvider.setCredentials(
    new AuthScope(host, port), 
    new NTCredentials(username, password.toCharArray(), "", "")
);

目前，我对此感到困惑。这可能是5.3版本中的一个bug吗？还是NTCredentialsProvider的工作方式有所改变？我没有在发布说明中找到任何相关提示，而且考虑到这只是一个小版本更新，这让我感到意外。

然而，事实是旧版本可以正常工作，而新版本不行。如果有人能提供关于如何解决这个问题的建议，我将非常感激。

Nathan Fellman · Answer

我花了一些时间尝试使用Apache HttpClient实现单点登录（Single Sign-On）和针对配置了Waffle过滤器以使用Negotiate协议的Tomcat上运行的Servlet进行Windows集成身份验证。我的代码之前在Apache HttpClient 4.5中工作正常，但在5.x版本中停止了工作。以下是我成功使用的代码段。

System.out.println("Win auth available: " + WinHttpClients.isWinAuthAvailable());
if (WinHttpClients.isWinAuthAvailable()) {
    ClassicHttpRequest request = new HttpGet("http://localhost:8080/ssotestwebapp/webapp");
    CloseableHttpClient client = WinHttpClients.createDefault();
    HttpClientContext context = HttpClientContext.create();
    
    List targetPreferredAuthSchemes = Collections.unmodifiableList(
            Arrays.asList(StandardAuthScheme.KERBEROS, StandardAuthScheme.SPNEGO, StandardAuthScheme.NTLM,
                    StandardAuthScheme.BEARER, StandardAuthScheme.DIGEST, StandardAuthScheme.BASIC));
    RequestConfig config = RequestConfig.custom()
            .setTargetPreferredAuthSchemes(targetPreferredAuthSchemes)
            .build();
    context.setRequestConfig(config);
    
    client.execute(request, context, response -> {
        System.out.println("----------------------------------------");
        System.out.println(response.getStatusLine());
        HttpEntity entity = response.getEntity();
        String content = EntityUtils.toString(entity);
        System.out.println(content);
        EntityUtils.consume(response.getEntity());
        return null;
    });
}

创建自定义的RequestConfig和targetPreferredAuthSchemes列表是关键部分，因为默认的RequestConfig不包含已废弃的方案，即使你将它们添加到AuthSchemes注册表中，也不会使用它们。

这里是我在Maven项目中使用的依赖项：



    org.apache.httpcomponents.client5
    httpclient5
    5.3.1




    org.apache.httpcomponents.client5
    httpclient5-win
    5.2.3
    test

Bergi · Answer

我们现已通过为 httpclient 提供一个默认的身份验证方案注册表成功解决了问题，操作如下所示：

Lookup authSchemeRegistry = RegistryBuilder.create()
        .register(StandardAuthScheme.NTLM, new NTLMSchemeFactory()).build();

httpclient = HttpClients.custom()
        .setDefaultCredentialsProvider(credentialsProvider)
        .setDefaultRequestConfig(config)
        .setDefaultAuthSchemeRegistry(authSchemeRegistry)
        .build();