前言:
书接上文,翻译官网Authentication的Username/Password这页,接下来继续翻译basic的这页,因为官网说的都是原理性的,这边一个小案例关于basic http authentication。
Basic Authentication
本节介绍 HTTP 基本身份验证在 Spring Security 中的工作原理。首先,我们看到 WWW-Authenticate 标头被发送回未经身份验证的客户端
上图构建于SecurityFilterChain 图。
1.首先,用户向未授权的资源 /private 发出未经身份验证的请求。
2.Spring Security 的 AuthorizationFilter 通过抛出 AccessDeniedException 来指示未经身份验证的请求被拒绝。
3.由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”。配置的 AuthenticationEntryPoint 是 BasicAuthenticationEntryPoint 的实例,用于发送 WWW-Authenticate 标头。RequestCache 通常是不保存请求的 NullRequestCache,因为客户端能够重播它最初请求的请求。
当客户端收到 WWW-Authenticate 标头时,它知道它应该使用用户名和密码重试。下图显示了正在处理的用户名和密码的流程:
1.当用户提交其用户名和密码时,BasicAuthenticationFilter 会创建一个 UsernamePasswordAuthenticationToken,这是一种通过从 HttpServletRequest 中提取用户名和密码来进行的身份验证。
2.接下来,将 UsernamePasswordAuthenticationToken 传递到 AuthenticationManager 中进行身份验证。AuthenticationManager 外观的详细信息取决于用户信息的存储方式。
3.如果身份验证失败,则定义为“失败”,并做如下:
(1)SecurityContextHolder 被清除。
(2)调用 RememberMeServices.loginFail。如果未配置“记住我”,则为空操作。请参阅 Javadoc 中的 RememberMeServices 接口。
(3)调用 AuthenticationEntryPoint 以触发再次发送 WWW-Authenticate。请参阅 Javadoc 中的 AuthenticationEntryPoint 接口。
4.如果身份验证成功,则定义为“成功”,并做如下:
(1)Authentication身份验证信息则设置在 SecurityContextHolder 上。
(2)调用 RememberMeServices.loginSuccess。如果未配置“记住我”,则为空操作。请参阅 Javadoc 中的 RememberMeServices 接口。
(3)BasicAuthenticationFilter 调用 FilterChain.doFilter(request,response) 以继续执行应用程序逻辑的其余部分。请参阅 Javadoc 中的 BasicAuthenticationFilter 类
默认情况下,Spring Security 的 HTTP 基本身份验证支持处于启用状态。但是,一旦提供了任何基于 servlet 的配置,就必须显式提供 HTTP Basic。
以下示例显示了一个最小的显式配置:
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.httpBasic(withDefaults());
return http.build();
}Basic Authentication例子
项目结构,很简单,maven里面也只有包含3.2spring boot,以及勾选web和security:
代码如下,先把默认表单登录注释掉:
@Configuration
@EnableWebSecurity
public class MySecurity {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{
http.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.httpBasic(Customizer.withDefaults());
// .formLogin(Customizer.withDefaults());
return http.build();
}
@Bean
public UserDetailsService userDetailsService() {
UserDetails userDetails = User.withDefaultPasswordEncoder()
.username("user")
.password("password")
.roles("USER")
.build();
return new InMemoryUserDetailsManager(userDetails);
}
}@RestController
public class Login {
@GetMapping("/private")
public String doLogin1() {
return "private";
}
}就会跳出需要身份验证的对话框,这个浏览器的行为,这是因为服务器的响应的报头里面,有返回
Www-Authenticate: Basic realm=“Realm”
在输入完争取用户名密码后,页面会有private,这是因为,在请求头里面有
Authorization: Basic dXNlcjpwYXNzd29yZA==
这个请求头的格式是把用户名密码进行base64编码,中间用冒号隔开,可以
额外说明一点,这个是浏览器生成的访问凭据,一般来说,在浏览器关闭前会一直存在。凭据是保存在浏览器内部的,而不是用的 cookie,localstorage 等存储方式。所以从浏览器工具栏的应用那边删掉cookie方式无法奏效的,但是我试过在隐私设置里面,清除cookie是可以成功的。
参考文献:
《Spring boot官网》