Spring Security之：Http Basic认证 - 简书

安宇雨 - 随手采集
2019-08-12 10:52:47
随手采集
0000-未整理-等待研究

Basic身份认证，是HTTP 1.0中引入的认证方案之一。虽然方案比较古老，同时存在安全缺陷，但由于实现简单，所以仍有部分场景下在使用，例如Tomcat自带的有个manager项目，访问这个项目需要Basic认证。

从Tomcat说起

熟悉Tomcat的朋友应该都看到过下面这个Tomcat的认证页面。

Tomcat身份认证

默认情况下，Tomcat还没有配置任何用户名和密码，所以接下来我们会看到一个401未授权页面

我们根据页面上的提示，在conf/tomcat-users.xml文件中加入以下配置：

<role rolename="manager-gui"/>
<user username="root" password="root" roles="manager-gui"/>

此时再重启Tomcat，遇到需要认证的地方输入用户名root和密码root，即可成功认证。这种认证方式就是Http Basic认证。

下面我们从http请求和响应的角度来观察下Http Basic认证失败和认证成功的情况

Http Basic认证失败

可以看到对于认证不通过的情况，服务端Http响应码为401，同时在响应头中加入:WWW-Authenticate:Basic realm="xxx"的响应头。

Http Basic认证成功

可以看到请求头中多加入了Authorization:Basic cm9vdDpyb290请求头。其中cm9vdDpyb290是Base64加密之后的文本，对其进行解密后其明文为root:root，而这正是上面配置的访问用户名和密码。编程的时候需要注意将用户名:密码进行Base64编码，且和Basic之间还留有一个空格

Spring Security中应用Http Basic认证

在我们的项目中加入Spring Security的依赖包，然后再对项目进行访问时，会自动弹出如下所示的输入框。

Spring Security对于Basic认证默认的用户名为user，密码在应用启动的时候会输出到日志当中

Basic认证默认密码输出

在项目中加入Spring Security依赖((此处以Spring Boot为例))

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Basic基本配置

Basic认证默认是开启的，如果要关闭的话，可以通过以下配置实现

security:
  basic:
    enabled: false

Basic配置认证的用户名和密码

security:
  basic:
    enabled: true
  user:
    name: spring
    password: security
    role: USER      #认证角色

这样配置之后，HTTP Basic认证的用户名变成spring，密码变成security。而服务端只要加入依赖包，并进行认证的用户名和密码的配置即可启用Http Basic的认证。

Http Basic客户端编程

这里假设我们客户端使用RestTemplate和启用了Http Basic认证的服务端进行交互。我们在发起Http请求之前，需要往请求头中加入Authorization请求头。

@Configuration
public class RestConfig {
    @Bean
    public RestTemplate restTemplate(){
        return new RestTemplate();
    }

    @Bean
    public HttpHeaders getHttpHeaders() {
        // 要进行一个Http头信息配置
        HttpHeaders headers = new HttpHeaders();
        String auth = "spring:security";
        byte[] encodedAuth = Base64.encodeBase64((auth.getBytes(Charset.forName("US-ASCII")))); // 进行一个加密的处理
        // 在进行授权的头信息内容配置的时候加密的信息一定要与“Basic”之间有一个空格
        String authHeader = "Basic " + new String(encodedAuth);
        headers.set("Authorization",authHeader);
        return headers;
    }
}

然后在使用RestTemplate API的时候需要将这个HttpHeaders加入其中。

import cn.zgc.vo.Dept;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpEntity;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.client.RestTemplate;
import java.util.List;

@RestController
@RequestMapping("/consumer/dept")
public class ConsumerDeptController {
    public static final String DEPT_GET_URL = "http://dept-8001.com:8001/dept/get/";
    public static final String DEPT_LIST_URL = "http://dept-8001.com:8001/dept/list/";
    public static final String DEPT_ADD_URL = "http://dept-8001.com:8001/dept/add";

    @Autowired
    private RestTemplate restTemplate;
    @Autowired
    private HttpHeaders httpHeaders;

    @RequestMapping(value = "/get")
    public Dept get(long id) {
        //Dept dept = restTemplate.getForObject(DEPT_GET_URL + id, Dept.class);
        Dept dept = restTemplate.exchange(DEPT_GET_URL+id, HttpMethod.GET,new HttpEntity<Object>(this.httpHeaders),Dept.class).getBody();
        return dept;
    }

    @RequestMapping("/list")
    public List<Dept> list(){
        //List<Dept> deptList = restTemplate.getForObject(DEPT_LIST_URL, List.class);
        List<Dept> deptList = this.restTemplate.exchange(DEPT_LIST_URL,HttpMethod.GET,new HttpEntity<Object>(this.httpHeaders),List.class).getBody();
        return deptList;
    }

    @RequestMapping("/add")
    public boolean add(Dept dept){
        //Boolean flag = restTemplate.postForObject(DEPT_ADD_URL, dept, Boolean.class);
        Boolean flag = this.restTemplate.exchange(DEPT_ADD_URL,HttpMethod.POST,new HttpEntity<Object>(this.httpHeaders),Boolean.class).getBody();
        return flag;
    }
}

Original url: Access
Created at: 2019-08-12 10:52:41
Category: default
Tags: none

未标明原创文章均为采集，版权归作者所有，转载无需和我联系，请注明原出处，南摩阿彌陀佛，知识，不只知道，要得到

请先后发表评论