基本身份验证

本节详细介绍了 Spring Security 如何为基于 servlet 的应用程序提供对 基本 HTTP 身份验证 的支持。

本节介绍了 HTTP 基本身份验证在 Spring Security 中的工作原理。首先,我们看到 WWW-Authenticate 标头被发送回未经身份验证的客户端

basicauthenticationentrypoint
图 1. 发送 WWW-Authenticate 头

上图基于我们的 SecurityFilterChain 图表。

number 1 首先,用户向资源 /private 发出未经身份验证的请求,但未获得授权。

number 2 Spring Security 的 AuthorizationFilter 指示未经身份验证的请求被拒绝,并抛出 AccessDeniedException 异常。

number 3 由于用户未经身份验证,ExceptionTranslationFilter 启动开始身份验证。配置的 AuthenticationEntryPointBasicAuthenticationEntryPoint 的实例,它发送 WWW-Authenticate 头。RequestCache 通常是 NullRequestCache,它不会保存请求,因为客户端能够重放它最初请求的请求。

当客户端收到 WWW-Authenticate 头时,它知道应该使用用户名和密码重试。下图显示了用户名和密码处理流程。

basicauthenticationfilter
图 2. 身份验证用户名和密码

上图基于我们的 SecurityFilterChain 图表。

number 1 当用户提交用户名和密码时,BasicAuthenticationFilter 会创建一个 UsernamePasswordAuthenticationToken,它是一种从 HttpServletRequest 中提取用户名和密码的 Authentication 类型。

number 2 接下来,UsernamePasswordAuthenticationToken 被传递到 AuthenticationManager 进行身份验证。AuthenticationManager 的具体实现取决于 用户信息存储方式

number 3 如果身份验证失败,则失败

  1. 安全上下文(SecurityContextHolder)被清除。

  2. RememberMeServices.loginFail 被调用。如果未配置记住我功能,则此操作无效果。请参阅 Javadoc 中的 RememberMeServices 接口。

  3. AuthenticationEntryPoint 被调用以触发再次发送 WWW-Authenticate。请参阅 Javadoc 中的 AuthenticationEntryPoint 接口。

number 4 如果身份验证成功,则为“成功”。

  1. 身份验证(Authentication)被设置在安全上下文(SecurityContextHolder)上。

  2. RememberMeServices.loginSuccess 被调用。如果未配置记住我功能,则此操作无效果。请参阅 Javadoc 中的 RememberMeServices 接口。

  3. BasicAuthenticationFilter 调用 FilterChain.doFilter(request,response) 以继续执行应用程序的其余逻辑。请参阅 Javadoc 中的 BasicAuthenticationFilter 类。

默认情况下,Spring Security 的 HTTP 基本身份验证支持已启用。但是,一旦提供任何基于 servlet 的配置,就必须显式提供 HTTP 基本身份验证。

以下示例显示了最小的显式配置。

显式 HTTP 基本身份验证配置

  • Java

  • XML

  • Kotlin

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.httpBasic(withDefaults());
	return http.build();
}
<http>
	<!-- ... -->
	<http-basic />
</http>
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
	http {
		// ...
		httpBasic { }
	}
	return http.build()
}