【SpringSecurity系列（二十九）】Spring Security 实现 Http Basic 认证

文章摘要 - 深入浅出Spring Security之HttpBasic认证

《深入浅出Spring Security》一书的作者介绍了Spring Security中的HttpBasic认证，这是Spring Security系列文章的第29篇。作者指出HttpBasic认证虽然简单易用，但由于安全性问题在实际项目中使用较少。文章详细介绍了HttpBasic认证和Http摘要认证的原理、配置和流程。

1. HttpBasic 认证的概念

HttpBasic认证是基于HTTP1.0规范定义的一种认证方式，它简单且无状态，通过请求头传递Base64编码的用户名和密码来认证用户。但是，由于Base64编码容易被解码，存在安全隐患。Spring Security同时支持HttpBasic认证和更安全的Http摘要认证。

2. HttpBasic 认证的实现与流程

文章展示了如何在Spring Boot项目中创建和配置HttpBasic认证。首先创建一个控制器和一个测试接口，然后通过配置类开启HttpBasic认证。在properties文件中配置用户信息后，启动项目并访问接口。浏览器会弹出认证框要求输入用户名和密码，完成认证后可以访问接口。认证流程包括请求接口、服务端返回401和认证方式、浏览器提示输入用户名和密码、服务端对认证信息解码和校验。

3. Http 摘要认证

Http摘要认证是对HttpBasic认证的改进，不会传输明文密码。它通过服务端生成的随机字符串提高安全性，并且添加了防重放攻击的机制。配置摘要认证涉及生成随机数和校验客户端摘要信息。文章提供了配置DigestAuthenticationFilter和DigestAuthenticationEntryPoint的示例代码，以及如何进行用户详情服务和密码编码器的配置。

4. 小结

尽管Http摘要认证比HttpBasic认证更安全，但由于实现复杂，这种认证方式并未广泛使用。作者建议读者将这些认证方式作为了解，并提取其中的思想来激发解决其他问题的思路。

为什么单元测试不是持续交付的唯一答案

了解更多

想要了解更多内容？

查看原文：【SpringSecurity系列（二十九）】Spring Security 实现 Http Basic 认证

文章来源：

江南一点雨

扫码关注公众号