詳解Spring Security的HttpBasic登陸驗證模式
1、HttpBasic模式的應用場景
HttpBasic登陸驗證模式是Spring Security實現登陸驗證最簡單的一種方式,也能夠說是最簡陋的一種方式。它的目的並非保障登陸驗證的絕對安全,而是提供一種「防君子不防小人」的登陸驗證。算法
就好像是我小時候寫日記,都買一個帶小鎖頭的日記本,實際上這個小鎖頭有什麼用呢?若是真正想看的人用一根釘子都能撬開。它的做用就是:某天你的父母想偷看你的日記,拿出來一看還帶把鎖,那就算了吧,怪麻煩的。spring
舉一個我使用HttpBasic模式的進行登陸驗證的例子:我曾經在一個公司擔任部門經理期間,開發了一套用於統計效率、分享知識、生成代碼、導出報表的Http接口。純粹是爲了工做中提升效率,同時我又有一點點小私心,畢竟各部之間是有競爭的,因此我給這套接口加上了HttpBasic驗證。公司裏隨便一個技術人員,最多隻要給上一兩個小時,就能夠把這個驗證破解了。說白了,這個工具的數據不那麼重要,加一道鎖的目的就是不讓它成爲公開數據。若是有心人破解了,真想看看這裏面的數據,其實也無妨。這就是HttpBasic模式的典型應用場景。瀏覽器
2、spring boot2.0整合Spring security
spring boot 2,x版本maven方式引入Spring security座標。安全
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
3、HttpBasic登陸認證模式
若是使用的Spring Boot版本爲1.X版本,依賴的Security 4.X版本,那麼就無需任何配置,啓動項目訪問則會彈出默認的httpbasic認證. springboot
咱們如今使用的是spring boot2.0版本(依賴Security 5.X版本),HttpBasic再也不是默認的驗證模式,在spring security 5.x默認的驗證模式已是表單模式。因此咱們要使用Basic模式,須要本身調整一下。而且security.basic.enabled已通過時了,因此咱們須要本身去編碼實現。服務器
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.httpBasic()//開啓httpbasic認證
.and()
.authorizeRequests()
.anyRequest()
.authenticated();//全部請求都須要登陸認證才能訪問
}
}
啓動項目,在項目後臺有這樣的一串日誌打印,冒號後面的就是默認密碼。app
Using generated security password: 0cc59a43-c2e7-4c21-a38c-0df8d1a6d624
咱們能夠經過瀏覽器進行登陸驗證,默認的用戶名是user.(下面的登陸框不是咱們開發的,是HttpBasic模式自帶的)maven
固然咱們也能夠經過application.yml指定配置用戶名密碼ide
spring:
security:
user:
name: admin
password: admin
4、HttpBasic模式的原理說明
- 首先,HttpBasic模式要求傳輸的用戶名密碼使用Base64模式進行加密。若是用戶名是
"admin",密碼是「 admin」,則將字符串"admin:admin"使用Base64編碼算法加密。加密結果多是:YWtaW46YWRtaW4=。 - 而後,在Http請求中使用Authorization做爲一個Header,「Basic YWtaW46YWRtaW4=「做爲Header的值,發送給服務端。(注意這裏使用Basic+空格+加密串)
- 服務器在收到這樣的請求時,到達BasicAuthenticationFilter過濾器,將提取「 Authorization」的Header值,並使用用於驗證用戶身份的相同算法Base64進行解碼。
- 解碼結果與登陸驗證的用戶名密碼匹配,匹配成功則能夠繼續過濾器後續的訪問。
因此,HttpBasic模式真的是很是簡單又簡陋的驗證模式,Base64的加密算法是可逆的,你知道上面的原理,分分鐘就破解掉。咱們徹底可使用PostMan工具,發送Http請求進行登陸驗證。spring-boot
期待您的關注
- 博主最近新寫了一本書:《手摸手教您學習SpringBoot系列-16章97節》
- 本文轉載註明出處(必須帶鏈接,不能只轉文字):字母哥博客。
- 1. 詳解Spring Security的HttpBasic登陸驗證模式
- 2. 詳解Spring Security的formLogin登陸認證模式
- 3. SpringBoot集成Spring Security作登陸驗證
- 4. 萬字長文:詳解Spring Security基於表單登陸的認證模式
- 5. spring security表單認證或HttpBasic
- 6. Spring security登陸新增圖片驗證碼驗證
- 7. Spring Security 登陸校驗 源碼解析
- 8. Spring Boot:基於JWT和Spring Security的登陸驗證
- 9. spring boot 整合 spring security 登陸認證
- 10. Spring Security登陸驗證流程源碼解析
- 更多相關文章...
- • Spring體系結構詳解 - Spring教程
- • DTD 驗證 - DTD 教程
- • 委託模式
- • Flink 數據傳輸及反壓詳解
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 詳解Spring Security的HttpBasic登陸驗證模式
- 2. 詳解Spring Security的formLogin登陸認證模式
- 3. SpringBoot集成Spring Security作登陸驗證
- 4. 萬字長文:詳解Spring Security基於表單登陸的認證模式
- 5. spring security表單認證或HttpBasic
- 6. Spring security登陸新增圖片驗證碼驗證
- 7. Spring Security 登陸校驗 源碼解析
- 8. Spring Boot:基於JWT和Spring Security的登陸驗證
- 9. spring boot 整合 spring security 登陸認證
- 10. Spring Security登陸驗證流程源碼解析