Basic Authentication

本节详细介绍了 Spring Security 如何为基于 servlet 的应用程序提供 Basic HTTP Authentication支持。

本部分介绍 HTTP 基本身份验证如何在 Spring Security 中运行。首先,我们看到 WWW-Authenticate 标头发回给未经身份验证的客户端:

basicauthenticationentrypoint
Figure 1. Sending WWW-Authenticate Header

前图基于我们的 SecurityFilterChain 图表构建。

number 1 首先,用户向资源 /private 发出未经身份验证的请求,而它没有授权。

number 2 Spring Security 的 AuthorizationFilter 指出未经身份验证的请求 Denied 抛出了 AccessDeniedException

number 3 由于用户未经身份验证,所以 ExceptionTranslationFilter 启动 Start Authentication。配置的 AuthenticationEntryPoint 是 {security-api-url}org/springframework/security/web/authentication/www/BasicAuthenticationEntryPoint.html[BasicAuthenticationEntryPoint] 的实例,它发送 WWW 身份验证头。RequestCache 通常是不保存请求的 NullRequestCache,因为客户端能够重复播放其最初请求的请求。

当客户端收到 WWW-Authenticate 头信息时,它便知道它应该用用户名和密码重试。下图显示了处理用户名和密码的流程图:

basicauthenticationfilter
Figure 2. Authenticating Username and Password

前图基于我们的 SecurityFilterChain 图表构建。

number 1 当用户提交其用户名和密码时,BasicAuthenticationFilter 会通过从 HttpServletRequest 中提取用户名和密码,创建一个 UsernamePasswordAuthenticationToken,它是一种 Authentication

number 2 接下来,将 UsernamePasswordAuthenticationToken 传递到 AuthenticationManager 以进行身份验证。AuthenticationManager 的外观详细信息取决于 user information is stored 的方式。

number 3如果身份验证失败,则_Failure_。

  1. 清除 SecurityContextHolder

  2. 调用`RememberMeServices.loginFail`.如果未配置记住我,则这是一个无操作.请参阅 Javadoc 中的 {security-api-url}org/springframework/security/web/authentication/RememberMeServices.html[RememberMeServices] 接口.

  3. 调用 AuthenticationEntryPoint 以触发 WWW-Authenticate 再次发送。参见 Javadoc 中的 {security-api-url}org/springframework/security/web/AuthenticationEntryPoint.html[AuthenticationEntryPoint] 接口。

number 4 如果身份验证成功,则 Success

  1. SecurityContextHolder上设置 Authentication

  2. 调用`RememberMeServices.loginSuccess`.如果未配置记住我,则这是一个无操作.请参阅 Javadoc 中的 {security-api-url}org/springframework/security/web/authentication/RememberMeServices.html[RememberMeServices] 接口.

  3. BasicAuthenticationFilter 调用 FilterChain.doFilter(request,response) 以继续进行应用程序逻辑的其余部分。参见 Javadoc 中的 {security-api-url}org/springframework/security/web/authentication/www/BasicAuthenticationFilter.html[BasicAuthenticationFilter] 类。

默认情况下,Spring Security 的 HTTP 基本认证支持已启用。但是,一旦提供了任何基于 servlet 的配置,就必须明确提供 HTTP 基本认证。

以下示例显示了一个最小的明确配置:

Explicit HTTP Basic Configuration
  • Java

  • XML

  • Kotlin

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.httpBasic(withDefaults());
	return http.build();
}
<http>
	<!-- ... -->
	<http-basic />
</http>
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
	http {
		// ...
		httpBasic { }
	}
	return http.build()
}