基本认证

本节详细介绍了 Spring Security 如何为基于 servlet 的应用程序提供对 基本 HTTP 认证 的支持。

本节描述了 HTTP 基本认证在 Spring Security 中的工作原理。首先,我们看到当未经身份验证的客户端发送请求时,会返回 WWW-Authenticate 头。

basicauthenticationentrypoint
图 1. 发送 WWW-Authenticate 头

上图基于我们的 SecurityFilterChain 图表。

数字 1 首先,用户对未经授权的资源 /private 发出未经身份验证的请求。

数字 2 Spring Security 的 AuthorizationFilter 指示未经身份验证的请求被拒绝,方法是抛出 AccessDeniedException 异常。

数字 3 由于用户未经身份验证,ExceptionTranslationFilter 会启动身份验证。配置的 AuthenticationEntryPointBasicAuthenticationEntryPoint 的一个实例,它会发送 WWW-Authenticate 头。RequestCache 通常是 NullRequestCache,它不会保存请求,因为客户端能够重放它最初请求的请求。

当客户端收到 WWW-Authenticate 头时,它就知道应该使用用户名和密码重试。下图显示了处理用户名和密码的流程。

basicauthenticationfilter
图 2. 认证用户名和密码

上图基于我们的 SecurityFilterChain 图表。

数字 1 当用户提交用户名和密码时,BasicAuthenticationFilter 会创建一个 UsernamePasswordAuthenticationToken,这是一种通过从 HttpServletRequest 中提取用户名和密码来进行 Authentication 的类型。

数字 2 接下来,UsernamePasswordAuthenticationToken 会传递到 AuthenticationManager 以进行身份验证。AuthenticationManager 的具体实现取决于 用户信息存储方式

数字 3 如果身份验证失败,则失败

  1. SecurityContextHolder 会被清除。

  2. RememberMeServices.loginFail 会被调用。如果未配置“记住我”,则此操作为无操作。请参阅 Javadoc 中的 RememberMeServices 接口。

  3. AuthenticationEntryPoint 会被调用以触发再次发送 WWW-Authenticate。请参阅 Javadoc 中的 AuthenticationEntryPoint 接口。

数字 4 如果身份验证成功,则成功

  1. Authentication 会设置到 SecurityContextHolder 上。

  2. RememberMeServices.loginSuccess 会被调用。如果未配置“记住我”,则此操作为无操作。请参阅 Javadoc 中的 RememberMeServices 接口。

  3. BasicAuthenticationFilter 调用 FilterChain.doFilter(request,response) 以继续执行应用程序的其余逻辑。请参阅 Javadoc 中的 BasicAuthenticationFilter

默认情况下,Spring Security 的 HTTP 基本身份验证支持已启用。但是,一旦提供了任何基于 Servlet 的配置,就必须显式提供 HTTP 基本身份验证。

以下示例显示了一个最小的显式配置

显式 HTTP 基本身份验证配置

  • Java

  • XML

  • Kotlin

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.httpBasic(withDefaults());
	return http.build();
}
<http>
	<!-- ... -->
	<http-basic />
</http>
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
	http {
		// ...
		httpBasic { }
	}
	return http.build()
}