Basic 认证
| 本站(springdoc.cn)中的内容来源于 spring.io ,原始版权归属于 spring.io。由 springdoc.cn 进行翻译,整理。可供个人学习、研究,未经许可,不得进行任何转载、商用或与之相关的行为。 商标声明:Spring 是 Pivotal Software, Inc. 在美国以及其他国家的商标。 |
本节详细介绍了Spring Security如何为基于servlet的应用程序提供对 Basic HTTP Authentication(HTTP基础认证) 的支持。
本节描述了HTTP基本认证是如何在Spring Security中工作的。首先,我们看到 WWW-Authenticate 头被送回给未认证的客户端。
上图建立在 SecurityFilterChain 图上。
首先,一个用户向其未被授权的资源 /private 发起了一个未经认证的请求。
Spring Security 的 AuthorizationFilter 通过抛出一个 AccessDeniedException 来表明未经认证的请求被拒绝了。
由于用户没有经过认证,ExceptionTranslationFilter 启动了 Start Authentication。配置的 AuthenticationEntryPoint 是 BasicAuthenticationEntryPoint 的一个实例,它发送一个 WWW-Authenticate 头。 RequestCache 通常是一个 NullRequestCache,它不保存请求,因为客户端有能力重放它最初请求的请求。
当客户端收到 WWW-Authenticate 头时,它知道它应该用用户名和密码重试。下面的图片显示了正在处理的用户名和密码的流程。
上图建立在我们的 SecurityFilterChain 图上。
当用户提交他们的用户名和密码时,BasicAuthenticationFilter 通过从 HttpServletRequest 中提取用户名和密码来创建一个 UsernamePasswordAuthenticationToken,这是一种 Authentication 类型。
接下来,UsernamePasswordAuthenticationToken 被传递到 AuthenticationManager 中进行认证。AuthenticationManager 的细节取决于 用户信息的存储方式。
如果认证失败,则 Failure。
-
RememberMeServices.loginFail被调用。如果没有配置remember me,这就是一个无用功。参见Javadoc中的RememberMeServices接口。 -
AuthenticationEntryPoint被调用以触发WWW-Authenticate的再次发送。参见Javadoc中的AuthenticationEntryPoint接口。
如果认证成功,则 Success。
-
Authentication 被设置在 SecurityContextHolder 上。
-
RememberMeServices.loginSuccess被调用。如果没有配置 remember me,这就是一个无用功。参见Javadoc中的RememberMeServices接口。 -
BasicAuthenticationFilter调用FilterChain.doFilter(request,response)来继续执行其余的应用逻辑。参见Javadoc中的BasicAuthenticationFilter类。
默认情况下,Spring Security的HTTP Basic认证支持已经启用。然而,只要提供任何基于Servlet的配置,就必须明确提供HTTP Basic。
下面的例子显示了一个最小的、明确的配置。
-
Java
-
XML
-
Kotlin
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.httpBasic(withDefaults());
return http.build();
}<http>
<!-- ... -->
<http-basic />
</http>@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
// ...
httpBasic { }
}
return http.build()
}