亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Spring Boot中如何實現HTTP認證

發布時間:2021-11-24 17:00:30 來源:億速云 閱讀:203 作者:柒染 欄目:互聯網科技

這篇文章將為大家詳細講解有關Spring Boot中如何實現HTTP認證,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

HttpBasic 認證有一定的局限性與安全隱患,因此在實際項目中使用并不多,但是,有的時候為了測試方便,開啟 HttpBasic 認證能方便很多。

今天還是來和大家簡單聊一聊 Spring Security 中的 HttpBasic 認證。

1.什么是 HttpBasic

Http Basic 認證是 Web 服務器和客戶端之間進行認證的一種方式,最初是在 HTTP1.0 規范(RFC 1945)中定義,后續的有關安全的信息可以在 HTTP 1.1 規范(RFC 2616)和 HTTP 認證規范(RFC 2617)中找到。

HttpBasic 最大的優勢在于使用非常簡單,沒有復雜的頁面交互,只需要在請求頭中攜帶相應的信息就可以認證成功,而且它是一種無狀態登錄,也就是 session 中并不會記錄用戶的登錄信息。

HttpBasic 最大的問題在于安全性,因為用戶名/密碼只是簡單的通過 Base64 編碼之后就開始傳送了,很容易被工具嗅探到,進而暴露用戶信息。

Spring Security 中既支持基本的 HttpBasic 認證,也支持 Http 摘要認證,Http 摘要認證是在 HttpBasic 認證的基礎上,提高了信息安全管理,但是代碼復雜度也提高了不少,所以 Http 摘要認證使用并不多。

這里,和大家分享 Spring Security 中的這兩種認證方式。

2.HttpBasic 認證

我們先來看實現,再來分析它的認證流程。

首先創建一個 Spring Boot 項目,引入 Web 和 Spring Security 依賴,如下:

Spring Boot中如何實現HTTP認證

接下來創建一個測試接口:

@RestController
public class HelloController {
   @GetMapping("/hello")
   public String hello() {
       return "hello";
   }
}

再開啟 HttpBasic 認證:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   @Override
   protected void configure(HttpSecurity http) throws Exception {
       http.authorizeRequests()
               .anyRequest().authenticated()
               .and()
               .httpBasic();
   }
}

最后再在 application.properties 中配置基本的用戶信息,如下:

spring.security.user.password=123
spring.security.user.name=javaboy

配置完成后,啟動項目,訪問 /hello 接口,此時瀏覽器中會有彈出框,讓我們輸入用戶名/密碼信息:

Spring Boot中如何實現HTTP認證

此時我們查看請求響應頭,如下:

Spring Boot中如何實現HTTP認證

可以看到,瀏覽器響應了 401,同時還攜帶了一個 WWW-Authenticate 響應頭,這個是用來描述認證形式的,如果我們使用的是 HttpBasic 認證,默認響應頭格式如圖所示。

接下來我們輸入用戶名密碼,點擊 Sign In 進行登錄,登錄成功后,就可以成功訪問到 /hello 接口了。

我們查看第二次的請求,如下:

Spring Boot中如何實現HTTP認證

大家可以看到,在請求頭中,多了一個 Authorization 字段,該字段的值為 Basic amF2YWJveToxMjM=,

amF2YWJveToxMjM= 是一個經過 Base64 編碼之后的字符串,我們將該字符串解碼之后發現,結果如下:

String x = 
new String(Base64.getDecoder().decode("amF2YWJveToxMjM="), 
"UTF-8");

解碼結果如下:

Spring Boot中如何實現HTTP認證

可以看到,這就是我們的用戶名密碼信息。用戶名/密碼只是經過簡單的 Base64 編碼之后就開始傳遞了,所以說,這種認證方式比較危險。

我們再來稍微總結一下 HttpBasic 認證的流程:

  1. 瀏覽器發出請求,說要訪問 /hello 接口。

  2. 服務端返回 401,表示未認證。同時在響應頭中攜帶 WWW-Authenticate 字段來描述認證形式。

  3. 瀏覽器收到 401 響應之后,彈出對話框,要求用戶輸入用戶名/密碼,用戶輸入完用戶名/密碼之后,瀏覽器會將之進行 Base64 編碼,編碼完成后,發送到服務端。

  4. 服務端對瀏覽器傳來的信息進行解碼,并校驗,當沒問題的時候,給客戶端作出響應。

大致的流程就是這樣。

3.Http 摘要認證

Http 摘要認證與 HttpBasic 認證基本兼容,但是要復雜很多,這個復雜不僅體現在代碼上,也體現在請求過程中。

Http 摘要認證最重要的改進是他不會在網絡上發送明文密碼。它的整個認證流程是這樣的:

  1. 瀏覽器發出請求,說要訪問 /hello 接口。

  2. 服務端返回 401,表示未認證,同時在響應頭中攜帶 WWW-Authenticate 字段來描述認證形式。不同的是,這次服務端會計算出一個隨機字符串,一同返回前端,這樣可以防止重放攻擊(所謂重放攻擊就是別人嗅探到你的摘要信息,把摘要當成密碼一次次發送服務端,加一個會變化的隨機字符串,生成的摘要信息就會變化,就可以防止重放攻擊),如下:

Spring Boot中如何實現HTTP認證

同時,服務端返回的字段還有一個 qop,表示保護級別,auth 表示只進行身份驗證;auth-int 表示還要校驗內容。

nonce 是服務端生成的隨機字符串,這是一個經過 Base64 編碼的字符串,經過解碼我們發現,它是由過期時間和密鑰組成的。在以后的請求中 nonce 會原封不動的再發回給服務端。

  1. 客戶端選擇一個算法,根據該算法計算出密碼以及其他數據的摘要,如下:

Spring Boot中如何實現HTTP認證

可以看到,客戶端發送到服務端的數據比較多。

  • nonce 就是服務端發來的隨機字符串。

  • response 是生成的摘要信息。

  • nc 表示請求此時,可以防止重放攻擊。

  • cnonce 表示客戶端發送給服務端的隨機字符串。

  1. 服務端根據客戶端發送來的用戶名,可以查詢出用戶密碼,再根據用戶密碼可以計算出摘要信息,再將摘要信息和客戶端發送來的摘要信息進行對比,就能確認用戶身份。

這就是整個流程。

一言以蔽之,原本的用戶密碼被摘要信息代替了,為了安全,摘要信息會根據服務端返回的隨機字符串而發生變化,服務端根據用戶密碼,同樣算出密碼的摘要信息,再和客戶端傳來的摘要信息進行對比,沒問題的話,用戶就算認證成功了。當然,在此基礎上還加了一些過期限制、重放攻擊防范機制等。

好了,那這個在 Spring Security 代碼中該怎么實現呢?

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   @Override
   protected void configure(HttpSecurity http) throws Exception {
       http.authorizeRequests()
               .anyRequest().authenticated()
               .and()
               .csrf()
               .disable()
               .exceptionHandling()
               .authenticationEntryPoint(digestAuthenticationEntryPoint())
               .and()
               .addFilter(digestAuthenticationFilter());
   }

   @Bean
   DigestAuthenticationEntryPoint digestAuthenticationEntryPoint() {
       DigestAuthenticationEntryPoint entryPoint = new DigestAuthenticationEntryPoint();
       entryPoint.setKey("javaboy");
       entryPoint.setRealmName("myrealm");
       entryPoint.setNonceValiditySeconds(1000);
       return entryPoint;
   }
   @Bean
   DigestAuthenticationFilter digestAuthenticationFilter() {
       DigestAuthenticationFilter filter = new DigestAuthenticationFilter();
       filter.setAuthenticationEntryPoint(digestAuthenticationEntryPoint());
       filter.setUserDetailsService(userDetailsService());
       return filter;
   }

   @Override
   @Bean
   protected UserDetailsService userDetailsService() {
       InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
       manager.createUser(User.withUsername("javaboy").password("123").roles("admin").build());
       return manager;
   }

   @Bean
   PasswordEncoder passwordEncoder() {
       return NoOpPasswordEncoder.getInstance();
   }

}

配置無非就是兩方面,一方面是服務端隨機字符串的生成,另一方面就是客戶端摘要信息的校驗。

  1. 首先提供 DigestAuthenticationEntryPoint 的實例,配置服務端隨機數生成的一些參數,例如 nonce 有效期(多長時間會變),realm 的名字,以及生成 nonce 時所需要的 key。nonce 的具體生成邏輯在 DigestAuthenticationEntryPoint#commence 方法中:

public void commence(HttpServletRequest request, HttpServletResponse response,
AuthenticationException authException) throws IOException {
HttpServletResponse httpResponse = response;
long expiryTime = System.currentTimeMillis() + (nonceValiditySeconds * 1000);
String signatureValue = DigestAuthUtils.md5Hex(expiryTime + ":" + key);
String nonceValue = expiryTime + ":" + signatureValue;
String nonceValueBase64 = new String(Base64.getEncoder().encode(nonceValue.getBytes()));
String authenticateHeader = "Digest realm=\"" + realmName + "\", "
+ "qop=\"auth\", nonce=\"" + nonceValueBase64 + "\"";
if (authException instanceof NonceExpiredException) {
authenticateHeader = authenticateHeader + ", stale=\"true\"";
}
if (logger.isDebugEnabled()) {
logger.debug("WWW-Authenticate header sent to user agent: "
+ authenticateHeader);
}
httpResponse.addHeader("WWW-Authenticate", authenticateHeader);
httpResponse.sendError(HttpStatus.UNAUTHORIZED.value(),
HttpStatus.UNAUTHORIZED.getReasonPhrase());
}

在這段代碼中,首先獲取到過期時間,然后給過期時間和 key 一起計算出消息摘要,再將 nonce 和消息摘要共同作為 value,計算出一個 Base64 編碼字符,再將該編碼字符寫回到前端。

  1. 配置 DigestAuthenticationFilter 過濾器,主要用來處理前端請求。過濾器的源碼比較長,我這里就不貼出來了,一個核心的思路就是從前端拿到用戶請求的摘要信息,服務端也根據一直的信息算出來一個摘要,再根據傳過來的摘要信息進行比對,進而確認用戶身份。

配置完成后,重啟服務端進行測試。

測試效果其實和 HttpBasic 認證是一樣的,所有的變化,只是背后的實現有所變化而已,用戶體驗是一樣的。

4.小結

Http 摘要認證的效果雖然比 HttpBasic 安全,但是其實大家看到,整個流程下來解決的安全問題其實還是非常有限。而且代碼也麻煩了很多,因此這種認證方式并未廣泛流行開來。

Http 認證小伙伴們作為一個了解即可,里邊的有一些思想還是挺有意思的,可以激發我們解決其他問題的思路,例如對于重放攻擊的的解決辦法,我們如果想自己防御重放攻擊,就可以參考這里的實現思路。

關于Spring Boot中如何實現HTTP認證就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

穆棱市| 西平县| 稻城县| 休宁县| 海阳市| 新巴尔虎右旗| 临安市| 额尔古纳市| 连云港市| 晋宁县| 五常市| 临沧市| 徐水县| 安乡县| 彭山县| 海淀区| 乐陵市| 田阳县| 定西市| 丰宁| 页游| 奇台县| 定陶县| 西峡县| 临洮县| 阳西县| 江陵县| 卢氏县| 晋江市| 沭阳县| 曲阳县| 南江县| 梅河口市| 扎赉特旗| 桃源县| 孟连| 柳州市| 星子县| 司法| 荥阳市| 保靖县|