前言:

书接上文,翻译官网Authentication的Username/Password这页,接下来继续翻译basic的这页,因为官网说的都是原理性的,这边一个小案例关于basic http authentication。

Basic Authentication

本节介绍 HTTP 基本身份验证在 Spring Security 中的工作原理。首先,我们看到 WWW-Authenticate 标头被发送回未经身份验证的客户端

上图构建于SecurityFilterChain 图。

1.首先,用户向未授权的资源 /private 发出未经身份验证的请求。

2.Spring Security 的 AuthorizationFilter 通过抛出 AccessDeniedException 来指示未经身份验证的请求被拒绝。

3.由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”。配置的 AuthenticationEntryPoint 是 BasicAuthenticationEntryPoint 的实例,用于发送 WWW-Authenticate 标头。RequestCache 通常是不保存请求的 NullRequestCache,因为客户端能够重播它最初请求的请求。

当客户端收到 WWW-Authenticate 标头时,它知道它应该使用用户名和密码重试。下图显示了正在处理的用户名和密码的流程:

1.当用户提交其用户名和密码时,BasicAuthenticationFilter 会创建一个 UsernamePasswordAuthenticationToken,这是一种通过从 HttpServletRequest 中提取用户名和密码来进行的身份验证。

2.接下来,将 UsernamePasswordAuthenticationToken 传递到 AuthenticationManager 中进行身份验证。AuthenticationManager 外观的详细信息取决于用户信息的存储方式。

3.如果身份验证失败,则定义为“失败”,并做如下:

(1)SecurityContextHolder 被清除。

(2)调用 RememberMeServices.loginFail。如果未配置“记住我”,则为空操作。请参阅 Javadoc 中的 RememberMeServices 接口。

(3)调用 AuthenticationEntryPoint 以触发再次发送 WWW-Authenticate。请参阅 Javadoc 中的 AuthenticationEntryPoint 接口。

4.如果身份验证成功,则定义为“成功”,并做如下:

(1)Authentication身份验证信息则设置在 SecurityContextHolder 上。

(2)调用 RememberMeServices.loginSuccess。如果未配置“记住我”,则为空操作。请参阅 Javadoc 中的 RememberMeServices 接口。

(3)BasicAuthenticationFilter 调用 FilterChain.doFilter(request,response) 以继续执行应用程序逻辑的其余部分。请参阅 Javadoc 中的 BasicAuthenticationFilter 类

默认情况下,Spring Security 的 HTTP 基本身份验证支持处于启用状态。但是,一旦提供了任何基于 servlet 的配置,就必须显式提供 HTTP Basic。

以下示例显示了一个最小的显式配置:

@Bean

public SecurityFilterChain filterChain(HttpSecurity http) {

http

// ...

.httpBasic(withDefaults());

return http.build();

}

Basic Authentication例子

项目结构,很简单,maven里面也只有包含3.2spring boot,以及勾选web和security:

代码如下,先把默认表单登录注释掉:

@Configuration

@EnableWebSecurity

public class MySecurity {

@Bean

public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{

http.authorizeHttpRequests((authorize) -> authorize

.anyRequest().authenticated()

)

.httpBasic(Customizer.withDefaults());

// .formLogin(Customizer.withDefaults());

return http.build();

}

@Bean

public UserDetailsService userDetailsService() {

UserDetails userDetails = User.withDefaultPasswordEncoder()

.username("user")

.password("password")

.roles("USER")

.build();

return new InMemoryUserDetailsManager(userDetails);

}

}

@RestController

public class Login {

@GetMapping("/private")

public String doLogin1() {

return "private";

}

}

访问localhost:8080/private

就会跳出需要身份验证的对话框,这个浏览器的行为,这是因为服务器的响应的报头里面,有返回

Www-Authenticate: Basic realm=“Realm”

在输入完争取用户名密码后,页面会有private,这是因为,在请求头里面有

Authorization: Basic dXNlcjpwYXNzd29yZA==

这个请求头的格式是把用户名密码进行base64编码,中间用冒号隔开,可以

​​

额外说明一点,这个是浏览器生成的访问凭据,一般来说,在浏览器关闭前会一直存在。凭据是保存在浏览器内部的,而不是用的 cookie,localstorage 等存储方式。所以从浏览器工具栏的应用那边删掉cookie方式无法奏效的,但是我试过在隐私设置里面,清除cookie是可以成功的。

参考文献: 

《Spring boot官网》

文章来源

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: