一、HttpBasic模式的應(yīng)用場(chǎng)景

HttpBasic登錄驗(yàn)證模式是Spring Security實(shí)現(xiàn)登錄驗(yàn)證最簡(jiǎn)單的一種方式，也可以說(shuō)是最簡(jiǎn)陋的一種方式。它的目的并不是保障登錄驗(yàn)證的絕對(duì)安全，而是提供一種“防君子不防小人”的登錄驗(yàn)證。

就好像是我小時(shí)候?qū)懭沼?，都買(mǎi)一個(gè)帶小鎖頭的日記本，實(shí)際上這個(gè)小鎖頭有什么用呢？如果真正想看的人用一根釘子都能撬開(kāi)。它的作用就是：某天你的父母想偷看你的日記，拿出來(lái)一看還帶把鎖，那就算了吧，怪麻煩的。

舉一個(gè)我使用HttpBasic模式的進(jìn)行登錄驗(yàn)證的例子：我曾經(jīng)在一個(gè)公司擔(dān)任部門(mén)經(jīng)理期間，開(kāi)發(fā)了一套用于統(tǒng)計(jì)效率、分享知識(shí)、生成代碼、導(dǎo)出報(bào)表的Http接口。純粹是為了工作中提高效率，同時(shí)我又有一點(diǎn)點(diǎn)小私心，畢竟各部之間是有競(jìng)爭(zhēng)的，所以我給這套接口加上了HttpBasic驗(yàn)證。公司里隨便一個(gè)技術(shù)人員，最多只要給上一兩個(gè)小時(shí)，就可以把這個(gè)驗(yàn)證破解了。說(shuō)白了，這個(gè)工具的數(shù)據(jù)不那么重要，加一道鎖的目的就是不讓它成為公開(kāi)數(shù)據(jù)。如果有心人破解了，真想看看這里面的數(shù)據(jù)，其實(shí)也無(wú)妨。這就是HttpBasic模式的典型應(yīng)用場(chǎng)景。

二、spring boot2.0整合Spring security

spring boot 2,x版本maven方式引入Spring security坐標(biāo)。

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

三、HttpBasic登錄認(rèn)證模式

如果使用的Spring Boot版本為1.X版本,依賴(lài)的Security 4.X版本，那么就無(wú)需任何配置，啟動(dòng)項(xiàng)目訪問(wèn)則會(huì)彈出默認(rèn)的httpbasic認(rèn)證.

我們現(xiàn)在使用的是spring boot2.0版本（依賴(lài)Security 5.X版本），HttpBasic不再是默認(rèn)的驗(yàn)證模式，在spring security 5.x默認(rèn)的驗(yàn)證模式已經(jīng)是表單模式。所以我們要使用Basic模式，需要自己調(diào)整一下。并且security.basic.enabled已經(jīng)過(guò)時(shí)了，所以我們需要自己去編碼實(shí)現(xiàn)。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
  
  @Override
  protected void configure(HttpSecurity http) throws Exception {
   http.httpBasic()//開(kāi)啟httpbasic認(rèn)證
   .and()
   .authorizeRequests()
   .anyRequest()
   .authenticated();//所有請(qǐng)求都需要登錄認(rèn)證才能訪問(wèn)
  }
}

啟動(dòng)項(xiàng)目，在項(xiàng)目后臺(tái)有這樣的一串日志打印，冒號(hào)后面的就是默認(rèn)密碼。

Using generated security password: 0cc59a43-c2e7-4c21-a38c-0df8d1a6d624

我們可以通過(guò)瀏覽器進(jìn)行登錄驗(yàn)證，默認(rèn)的用戶(hù)名是user.（下面的登錄框不是我們開(kāi)發(fā)的，是HttpBasic模式自帶的）

當(dāng)然我們也可以通過(guò)application.yml指定配置用戶(hù)名密碼

spring:
  security:
   user:
    name: admin
    password: admin

四、HttpBasic模式的原理說(shuō)明

• 首先，HttpBasic模式要求傳輸?shù)挠脩?hù)名密碼使用Base64模式進(jìn)行加密。如果用戶(hù)名是 "admin"  ，密碼是“ admin”，則將字符串"admin:admin" 使用Base64編碼算法加密。加密結(jié)果可能是：YWtaW46YWRtaW4=。
  
• 然后，在Http請(qǐng)求中使用Authorization作為一個(gè)Header，“Basic YWtaW46YWRtaW4=“作為Header的值，發(fā)送給服務(wù)端。（注意這里使用Basic+空格+加密串）
  
• 服務(wù)器在收到這樣的請(qǐng)求時(shí)，到達(dá)BasicAuthenticationFilter過(guò)濾器，將提取“ Authorization”的Header值，并使用用于驗(yàn)證用戶(hù)身份的相同算法Base64進(jìn)行解碼。
  
• 解碼結(jié)果與登錄驗(yàn)證的用戶(hù)名密碼匹配，匹配成功則可以繼續(xù)過(guò)濾器后續(xù)的訪問(wèn)。
  

所以，HttpBasic模式真的是非常簡(jiǎn)單又簡(jiǎn)陋的驗(yàn)證模式，Base64的加密算法是可逆的，你知道上面的原理，分分鐘就破解掉。我們完全可以使用PostMan工具，發(fā)送Http請(qǐng)求進(jìn)行登錄驗(yàn)證。

總結(jié)

以上所述是小編給大家介紹的Spring Security中的HttpBasic登錄驗(yàn)證模式，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！
如果你覺(jué)得本文對(duì)你有幫助，歡迎轉(zhuǎn)載，煩請(qǐng)注明出處，謝謝！

最新評(píng)論