linux办公网
Spring Security HTTP认证
创始人
2024-03-21 00:35:50
0

本文内容来自王松老师的《深入浅出Spring Security》,自己在学习的时候为了加深理解顺手抄录的,有时候还会写一些自己的想法。

 

        HTTP提供了用户权限控制和认证的通用方式,这种认证方式通过HTTP请求头来提供认证信息,而不是通过表单登录。最为小伙伴熟知的应该是HTTP Basic Authentication,另外一种是相对安全的HTTP Digest Authentication。Spring Security中对于这两种认证方式都提供了相应的支持。接下来我们来学习下这两种认证的具体使用方法以及各自的优缺点。

HTTP Basic Authentication

        HTTP Basic Authentication中文翻译为HTTP基本认证。在这种认证方式中,将用户的用户名/密码经过Base64编码之后,放在请求头的Authorization字段中,从而完成于用户的身份证。

        在RFC7235(https://tools.ietf.org/html/rfc7235)规范中定义的认证方式,方客户端发起一个请求之后,服务端可以针对该请求返回一个质询信息,然后客户端再提供用户的凭证信息。具体的质询和应答流程如下图:

         从上图我们可以看到,HTTP基本认证流程是这样的:

  • 首先客户端(浏览器)发起请求 
    GET /hello HTTP/1.1
Host: localhost:8080
  • 服务端收到请求,发现用户没有认证,于是给出如下响应。状态码401表示用户未完成认证,WWW-Authenticate响应头定义了使用何种认证方式去完成身份认证。最简单的、常见的的就是我们使用的HTTP基本认证(Basic)、Bearer(OAuth2.0认证)、Digest(HTTP摘要认证)等等取值。 
    HTTP/1.1 401
WWW-Authenticate: Basic realm="Realm"
  • 客户端收到服务器的响应之后,将用户名/密码使用Base64编码之后,放在请求头中再次发起请求 
    GET /hello HTTP/1.1
Host: localhost:8080
Authorization: Basic amF2YWJveToxMjM=

  • 服务器端解析Authorization字段,完成用户身份的校验,最后将资环返回给客户端

    HTTP/1.1 200
Content-Type: text/html;charset=UTF-8
Content-Length: 16

    上面就是整个HTTP Basic Authenticaiton认证流程。

        可以看到,这种认证方式实际上非常简单,基本上所有的浏览器上都支持这种认证方式。HTTP基本认证方式没有对传输的凭证信息进行加密,仅仅只是进行了Base64编码,这就造成了很大的安全隐患,所以如果用到HTTP基本的认证一般都是结合HTTPS一起使用。同时,一旦使用HTTP基本认证,除非用户关闭浏览器或者清空浏览器缓存,否则没有办法退出登录。

基本用法

        Spring Security中开启HTTP基本认证非常容易,继承WebSecurityConfigurerAdapter重写configure(HttpSecurity http) 方法,配置配置如下:

    @Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().anyRequest().authenticated() .and().httpBasic().and().httpBasic(); }

        通过httpBasic()方法即可开启HTTP基本认证。配置完成之后,启动项目,此时如果要访问一个受保护的资源,浏览器会自动弹出一个认证框。输入正确的用户名/密码认证成功之后,就可以访问受保护的资源了。

        

 源码分析

        接下来我们看看Spring Security中是如何实现HTTP基本认证的。实现整体分为两部分:

  • 对没有认证的请求发出咨询
  • 解析携带了认证信息的请求

质询

         httpBasic( )方法开启了HTTP基本认证的配置,具体通过配置HttpBasicConfigurer类来完成。在HttpBasicConfigurer配置类的init方法中调用了registerDefaultEntryPoint方法,该方法完成了失败请求处理类AuthenticationEntryPoint类的配置,代码如下:

	private void registerDefaultEntryPoint(B http, RequestMatcher preferredMatcher) {ExceptionHandlingConfigurer exceptionHandling = http.getConfigurer(ExceptionHandlingConfigurer.class);if (exceptionHandling == null) {return;}exceptionHandling.defaultAuthenticationEntryPointFor(postProcess(this.authenticationEntryPoint),preferredMatcher);}

        这里配置到exceptionHandling中的authenticationEntryPoint是一个代理对象,具体代理的是BasicAuthenticationEntryPoint(启动项目的是debug时就能看到)。

        简而言之,如果一个请求没有携带认证信息的话,最终将被BasicAuthenticationEntryPoint实例处理,我们来看下该类的主要实现:

public class BasicAuthenticationEntryPoint implements AuthenticationEntryPoint, InitializingBean {private String realmName;@Overridepublic void afterPropertiesSet() {Assert.hasText(this.realmName, "realmName must be specified");}@Overridepublic void commence(HttpServletRequest request, HttpServletResponse response,AuthenticationException authException) throws IOException {response.addHeader("WWW-Authenticate", "Basic realm=\"" + this.realmName + "\"");response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());}public String getRealmName() {return this.realmName;}public void setRealmName(String realmName) {this.realmName = realmName;}
}

        可以看到,这个类的处理逻辑还是很简单的,响应头中添加WWW-Authenticate字段,然后发送错误响应码为401。

        这里就是发出质询的代码。总结一下,就是一个未经认证的请求,在经过Spring Security过滤器链时会抛出异常,该异常会在ExceptionTranslationFilter过滤器链中调用BasicAuthenticationEntryPoint的commence方法中进行处理。

请求分析

        HttpBasicConfigurer类中的configure方法中,向Spring Security过滤器链中添加一个过滤器BasicAuthenticationFilter,改过滤器专门来处理HTTP基本认证相关的事情,我们来看一下它的核心方法doFilterInternal:

@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)throws IOException, ServletException {try {UsernamePasswordAuthenticationToken authRequest = this.authenticationConverter.convert(request);if (authRequest == null) {this.logger.trace("Did not process authentication request since failed to find "+ "username and password in Basic Authorization header");chain.doFilter(request, response);return;}String username = authRequest.getName();this.logger.trace(LogMessage.format("Found username '%s' in Basic Authorization header", username));if (authenticationIsRequired(username)) {Authentication authResult = this.authenticationManager.authenticate(authRequest);SecurityContext context = SecurityContextHolder.createEmptyContext();context.setAuthentication(authResult);SecurityContextHolder.setContext(context);if (this.logger.isDebugEnabled()) {this.logger.debug(LogMessage.format("Set SecurityContextHolder to %s", authResult));}this.rememberMeServices.loginSuccess(request, response, authResult);this.securityContextRepository.saveContext(context, request, response);onSuccessfulAuthentication(request, response, authResult);}}catch (AuthenticationException ex) {SecurityContextHolder.clearContext();this.logger.debug("Failed to process authentication request", ex);this.rememberMeServices.loginFail(request, response);onUnsuccessfulAuthentication(request, response, ex);if (this.ignoreFailure) {chain.doFilter(request, response);}else {this.authenticationEntryPoint.commence(request, response, ex);}return;}chain.doFilter(request, response);}

        该方法执行流程如下:

  1. 首先调用authenticationConverter的convert方法从请求头中的Authorization字段进行解析,经过Base64解码之后的用户名和密码是一个用 ":" 隔开的字符串,例如用户使用tianluhua/123进行登录,那么这里解码后得到的字符串就是tianluhua:123,然后根据用户名和密码构造一个UsernamePasswordAuthenticationToken对象出来。
  2. authRequest 为null,说明请求头中没有包含Http基本认证的信息,改方法到此为止。那么接下来执行其他的过滤器即可。
  3. 从authRequest对象中提取出用户名,然后调用authenticationIsRequired方法判断是否有必要进行认证,如果没必要认证就执行下面的过滤器。
  4. 如果有必要认证,就调用authenticationManager的authenticate方法完成用户认证,同时将信息存入SecurityContextHolder中;如果配合了rememberMeServices,也行进相应的处理,最后回调一个onSuccessfulAuthentication方法,不过改方法没有做任何实现。
  5. 如果认证过程中抛出异常,则进行相应的处理即可
  6. 最后执行接下来的过滤器。在后续的过滤器中执行的过程中,由于SecurityContextHolder中已经保存了登录用户的信息了,相当于用户已经完成了登录了,因此就和普通的请求一样,不会被“半路拦截”。

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇:【论文合集】2022年11月医学影像期刊论文合集

下一篇:【吴恩达机器学习笔记】十三、异常检测

相关内容

热门资讯

AWSECS:访问外部网络时出... 如果您在AWS ECS中部署了应用程序,并且该应用程序需要访问外部网络,但是无法正常访问,可能是因为...
银河麒麟V10SP1高级服务器... 银河麒麟高级服务器操作系统简介: 银河麒麟高级服务器操作系统V10是针对企业级关键业务...
【NI Multisim 14...   目录 序言 一、工具栏 🍊1.“标准”工具栏 🍊 2.视图工具...
AWSElasticBeans... 在Dockerfile中手动配置nginx反向代理。例如,在Dockerfile中添加以下代码:FR...
不能访问光猫的的管理页面 光猫是现代家庭宽带网络的重要组成部分,它可以提供高速稳定的网络连接。但是,有时候我们会遇到不能访问光...
月入8000+的steam搬砖... 大家好,我是阿阳 今天要给大家介绍的是 steam 游戏搬砖项目,目前...
​ToDesk 远程工具安装及... 目录 前言 ToDesk 优势 ToDesk 下载安装 ToDesk 功能展示 文件传输 设备链接 ...
北信源内网安全管理卸载 北信源内网安全管理是一款网络安全管理软件,主要用于保护内网安全。在日常使用过程中,卸载该软件是一种常...
AWS管理控制台菜单和权限 要在AWS管理控制台中创建菜单和权限,您可以使用AWS Identity and Access Ma...
AWR报告解读 WORKLOAD REPOSITORY PDB report (PDB snapshots) AW...