spring security简明身份验证指南:基于httpp basic认证
Spring Security负责Spring应用程序的身份验证和授权。本文将演示使用最基本的HTTP 保护Spring的Basic身份验证方法 Boot API。
首先,创建一个简单的Spring Boot应用程序只包括Spring Web和Spring 依赖Security。 我们将添加一个简单的GET请求:
package com.example.spring_basic;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class DemoController {
@GetMapping("/hello")
public String hello(){
return "Hello World!";
}
}
应用程序运行后,Spring Security将自动启用默认配置,但此时安全性并未真正生效。我们可以使用工具(例如intelliJ) HTTP客户端)发送测试请求,您会发现请求可以成功访问 /hello 接口。
为了提高安全性,我们需要添加自定义的Spring Security配置:
package com.example.spring_basic;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
import static org.springframework.security.config.Customizer.withDefaults;
@Configuration
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.httpBasic(withDefaults());
http.authorizeHttpRequests(httpSecurity -> {
httpSecurity.requestMatchers("/users").permitAll();
httpSecurity.anyRequest().authenticated();
});
return http.build();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public InMemoryUserDetailsManager inMemoryUserDetailsManager() {
UserDetails user = User.builder()
.username("user")
.password(passwordEncoder().encode("password"))
.roles("user")
.build();
UserDetails admin = User.builder()
.username("admin")
.password(passwordEncoder().encode("password"))
.roles("user", "admin")
.build();
return new InMemoryUserDetailsManager(user, admin);
}
}
HttpBasic使用这个配置(withDefaults()使用HTTP Basic身份验证,并定义了两个用户:“user"和"admin密码均为“”password"(BCryptpasswordencoder已用于加密)。 /users 允许匿名访问路径,所有其他要求都需要身份验证。
现在我们需要使用用户名和密码进行身份验证才能访问 /hello 接口:
GET http://localhost:8080/hello Authorization: Basic XNlcjpwyxnzd29yzzay== // "user:password" Base64编码
工作原理:
当客户端发送请求时,BasicauthenticationFilter拦截请求,提取Authorization header中的凭证。 Authenticationmanager调用DaoauthenticationProvider,用Inmemoryuserdetailsmanager验证用户名和密码。 如果验证成功,将身份验证信息添加到SecurityContext,允许访问受保护的资源。
项目源代码:此处替换为实际源代码链接或说明
通过以上步骤,我们成功地使用了HTTP Basic身份验证保护Spring Boot应用程序。 请记住,在生产环境中,应使用更安全的身份验证方法,如OAuth 2.0或JWT。
以上是春季开始时基本身份验证的详细内容。请关注图灵教育的其他相关文章!
湘公网安备43019002002060