Spring Security之:Http Basic认证
Basic身份认证,是HTTP 1.0中引入的认证方案之一。虽然方案比较古老,同时存在安全缺陷,但由于实现简单,所以仍有部分场景下在使用,例如Tomcat自带的有个manager项目,访问这个项目需要Basic认证。
从Tomcat说起
熟悉Tomcat的朋友应该都看到过下面这个Tomcat的认证页面。
Tomcat身份认证
默认情况下,Tomcat还没有配置任何用户名和密码,所以接下来我们会看到一个401未授权页面
我们根据页面上的提示,在
conf/tomcat-users.xml文件中加入以下配置:
<role rolename="manager-gui"/>
<user username="root" password="root" roles="manager-gui"/>
此时再重启Tomcat,遇到需要认证的地方输入用户名root和密码root,即可成功认证。这种认证方式就是Http Basic认证。
下面我们从http请求和响应的角度来观察下Http Basic认证失败和认证成功的情况
Http Basic认证失败
Http Basic认证失败
可以看到对于认证不通过的情况,服务端Http响应码为401,同时在响应头中加入:WWW-Authenticate:Basic realm="xxx"的响应头。
Http Basic认证成功
Http Basic认证成功
可以看到请求头中多加入了Authorization:Basic cm9vdDpyb290请求头。其中cm9vdDpyb290是Base64加密之后的文本,对其进行解密后其明文为root:root,而这正是上面配置的访问用户名和密码。编程的时候需要注意将用户名:密码进行Base64编码,且和Basic之间还留有一个空格
Spring Security中应用Http Basic认证
在我们的项目中加入Spring Security的依赖包,然后再对项目进行访问时,会自动弹出如下所示的输入框。
Spring Security对于Basic认证默认的用户名为user,密码在应用启动的时候会输出到日志当中
Basic认证默认密码输出
在项目中加入Spring Security依赖((此处以Spring Boot为例))
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
Basic基本配置
Basic认证默认是开启的,如果要关闭的话,可以通过以下配置实现
security:
basic:
enabled: false
Basic配置认证的用户名和密码
security:
basic:
enabled: true
user:
name: spring
password: security
role: USER #认证角色
这样配置之后,HTTP Basic认证的用户名变成spring,密码变成security。而服务端只要加入依赖包,并进行认证的用户名和密码的配置即可启用Http Basic的认证。
Http Basic客户端编程
这里假设我们客户端使用RestTemplate和启用了Http Basic认证的服务端进行交互。我们在发起Http请求之前,需要往请求头中加入Authorization请求头。
@Configuration
public class RestConfig {
@Bean
public RestTemplate restTemplate(){
return new RestTemplate();
}
@Bean
public HttpHeaders getHttpHeaders() {
// 要进行一个Http头信息配置
HttpHeaders headers = new HttpHeaders();
String auth = "spring:security";
byte[] encodedAuth = Base64.encodeBase64((auth.getBytes(Charset.forName("US-ASCII")))); // 进行一个加密的处理
// 在进行授权的头信息内容配置的时候加密的信息一定要与“Basic”之间有一个空格
String authHeader = "Basic " + new String(encodedAuth);
headers.set("Authorization",authHeader);
return headers;
}
}
然后在使用RestTemplate API的时候需要将这个HttpHeaders加入其中。
import cn.zgc.vo.Dept;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpEntity;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.client.RestTemplate;
import java.util.List;
@RestController
@RequestMapping("/consumer/dept")
public class ConsumerDeptController {
public static final String DEPT_GET_URL = "http://dept-8001.com:8001/dept/get/";
public static final String DEPT_LIST_URL = "http://dept-8001.com:8001/dept/list/";
public static final String DEPT_ADD_URL = "http://dept-8001.com:8001/dept/add";
@Autowired
private RestTemplate restTemplate;
@Autowired
private HttpHeaders httpHeaders;
@RequestMapping(value = "/get")
public Dept get(long id) {
//Dept dept = restTemplate.getForObject(DEPT_GET_URL + id, Dept.class);
Dept dept = restTemplate.exchange(DEPT_GET_URL+id, HttpMethod.GET,new HttpEntity<Object>(this.httpHeaders),Dept.class).getBody();
return dept;
}
@RequestMapping("/list")
public List<Dept> list(){
//List<Dept> deptList = restTemplate.getForObject(DEPT_LIST_URL, List.class);
List<Dept> deptList = this.restTemplate.exchange(DEPT_LIST_URL,HttpMethod.GET,new HttpEntity<Object>(this.httpHeaders),List.class).getBody();
return deptList;
}
@RequestMapping("/add")
public boolean add(Dept dept){
//Boolean flag = restTemplate.postForObject(DEPT_ADD_URL, dept, Boolean.class);
Boolean flag = this.restTemplate.exchange(DEPT_ADD_URL,HttpMethod.POST,new HttpEntity<Object>(this.httpHeaders),Boolean.class).getBody();
return flag;
}
}
