Spring Security之:Http Basic认证

Basic身份认证,是HTTP 1.0中引入的认证方案之一。虽然方案比较古老,同时存在安全缺陷,但由于实现简单,所以仍有部分场景下在使用,例如Tomcat自带的有个manager项目,访问这个项目需要Basic认证。

从Tomcat说起

熟悉Tomcat的朋友应该都看到过下面这个Tomcat的认证页面。

Tomcat身份认证

默认情况下,Tomcat还没有配置任何用户名和密码,所以接下来我们会看到一个401未授权页面

我们根据页面上的提示,在conf/tomcat-users.xml文件中加入以下配置:

<role rolename="manager-gui"/>
<user username="root" password="root" roles="manager-gui"/>

此时再重启Tomcat,遇到需要认证的地方输入用户名root和密码root,即可成功认证。这种认证方式就是Http Basic认证。

下面我们从http请求和响应的角度来观察下Http Basic认证失败和认证成功的情况

Http Basic认证失败

Http Basic认证失败

可以看到对于认证不通过的情况,服务端Http响应码为401,同时在响应头中加入:WWW-Authenticate:Basic realm="xxx"的响应头。

Http Basic认证成功

Http Basic认证成功

可以看到请求头中多加入了Authorization:Basic cm9vdDpyb290请求头。其中cm9vdDpyb290是Base64加密之后的文本,对其进行解密后其明文为root:root,而这正是上面配置的访问用户名和密码。编程的时候需要注意将用户名:密码进行Base64编码,且和Basic之间还留有一个空格

Spring Security中应用Http Basic认证

在我们的项目中加入Spring Security的依赖包,然后再对项目进行访问时,会自动弹出如下所示的输入框。



Spring Security对于Basic认证默认的用户名为user,密码在应用启动的时候会输出到日志当中


Basic认证默认密码输出

在项目中加入Spring Security依赖((此处以Spring Boot为例))

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Basic基本配置

Basic认证默认是开启的,如果要关闭的话,可以通过以下配置实现

security:
  basic:
    enabled: false

Basic配置认证的用户名和密码

security:
  basic:
    enabled: true
  user:
    name: spring
    password: security
    role: USER      #认证角色

这样配置之后,HTTP Basic认证的用户名变成spring,密码变成security。而服务端只要加入依赖包,并进行认证的用户名和密码的配置即可启用Http Basic的认证。

Http Basic客户端编程

这里假设我们客户端使用RestTemplate和启用了Http Basic认证的服务端进行交互。我们在发起Http请求之前,需要往请求头中加入Authorization请求头。

@Configuration
public class RestConfig {
    @Bean
    public RestTemplate restTemplate(){
        return new RestTemplate();
    }

    @Bean
    public HttpHeaders getHttpHeaders() {
        // 要进行一个Http头信息配置
        HttpHeaders headers = new HttpHeaders();
        String auth = "spring:security";
        byte[] encodedAuth = Base64.encodeBase64((auth.getBytes(Charset.forName("US-ASCII")))); // 进行一个加密的处理
        // 在进行授权的头信息内容配置的时候加密的信息一定要与“Basic”之间有一个空格
        String authHeader = "Basic " + new String(encodedAuth);
        headers.set("Authorization",authHeader);
        return headers;
    }
}

然后在使用RestTemplate API的时候需要将这个HttpHeaders加入其中。

import cn.zgc.vo.Dept;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpEntity;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.client.RestTemplate;
import java.util.List;

@RestController
@RequestMapping("/consumer/dept")
public class ConsumerDeptController {
    public static final String DEPT_GET_URL = "http://dept-8001.com:8001/dept/get/";
    public static final String DEPT_LIST_URL = "http://dept-8001.com:8001/dept/list/";
    public static final String DEPT_ADD_URL = "http://dept-8001.com:8001/dept/add";

    @Autowired
    private RestTemplate restTemplate;
    @Autowired
    private HttpHeaders httpHeaders;

    @RequestMapping(value = "/get")
    public Dept get(long id) {
        //Dept dept = restTemplate.getForObject(DEPT_GET_URL + id, Dept.class);
        Dept dept = restTemplate.exchange(DEPT_GET_URL+id, HttpMethod.GET,new HttpEntity<Object>(this.httpHeaders),Dept.class).getBody();
        return dept;
    }

    @RequestMapping("/list")
    public List<Dept> list(){
        //List<Dept> deptList = restTemplate.getForObject(DEPT_LIST_URL, List.class);
        List<Dept> deptList = this.restTemplate.exchange(DEPT_LIST_URL,HttpMethod.GET,new HttpEntity<Object>(this.httpHeaders),List.class).getBody();
        return deptList;
    }

    @RequestMapping("/add")
    public boolean add(Dept dept){
        //Boolean flag = restTemplate.postForObject(DEPT_ADD_URL, dept, Boolean.class);
        Boolean flag = this.restTemplate.exchange(DEPT_ADD_URL,HttpMethod.POST,new HttpEntity<Object>(this.httpHeaders),Boolean.class).getBody();
        return flag;
    }
}
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 151,688评论 1 330
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,559评论 1 273
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,749评论 0 226
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,581评论 0 191
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,741评论 3 271
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,684评论 1 192
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,122评论 2 292
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,847评论 0 182
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,441评论 0 228
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,939评论 2 232
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,333评论 1 242
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,783评论 2 236
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,275评论 3 220
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,830评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,444评论 0 180
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,553评论 2 249
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,618评论 2 249

推荐阅读更多精彩内容