详解Spring Security的HttpBasic登陆验证模式
1、HttpBasic模式的应用场景
HttpBasic登陆验证模式是Spring Security实现登陆验证最简单的一种方式,也能够说是最简陋的一种方式。它的目的并非保障登陆验证的绝对安全,而是提供一种“防君子不防小人”的登陆验证。算法
就好像是我小时候写日记,都买一个带小锁头的日记本,实际上这个小锁头有什么用呢?若是真正想看的人用一根钉子都能撬开。它的做用就是:某天你的父母想偷看你的日记,拿出来一看还带把锁,那就算了吧,怪麻烦的。spring
举一个我使用HttpBasic模式的进行登陆验证的例子:我曾经在一个公司担任部门经理期间,开发了一套用于统计效率、分享知识、生成代码、导出报表的Http接口。纯粹是为了工做中提升效率,同时我又有一点点小私心,毕竟各部之间是有竞争的,因此我给这套接口加上了HttpBasic验证。公司里随便一个技术人员,最多只要给上一两个小时,就能够把这个验证破解了。说白了,这个工具的数据不那么重要,加一道锁的目的就是不让它成为公开数据。若是有心人破解了,真想看看这里面的数据,其实也无妨。这就是HttpBasic模式的典型应用场景。浏览器
2、spring boot2.0整合Spring security
spring boot 2,x版本maven方式引入Spring security坐标。安全
<dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-security</artifactid> </dependency>
3、HttpBasic登陆认证模式
若是使用的Spring Boot版本为1.X版本,依赖的Security 4.X版本,那么就无需任何配置,启动项目访问则会弹出默认的httpbasic认证.springboot
咱们如今使用的是spring boot2.0版本(依赖Security 5.X版本),HttpBasic再也不是默认的验证模式,在spring security 5.x默认的验证模式已是表单模式。因此咱们要使用Basic模式,须要本身调整一下。而且security.basic.enabled已通过时了,因此咱们须要本身去编码实现。服务器
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.httpBasic()//开启httpbasic认证
.and()
.authorizeRequests()
.anyRequest()
.authenticated();//全部请求都须要登陆认证才能访问
}
}
启动项目,在项目后台有这样的一串日志打印,冒号后面的就是默认密码。app
Using generated security password: 0cc59a43-c2e7-4c21-a38c-0df8d1a6d624
咱们能够经过浏览器进行登陆验证,默认的用户名是user.(下面的登陆框不是咱们开发的,是HttpBasic模式自带的)maven
固然咱们也能够经过application.yml指定配置用户名密码ide
spring:
security:
user:
name: admin
password: admin
4、HttpBasic模式的原理说明
- 首先,HttpBasic模式要求传输的用户名密码使用Base64模式进行加密。若是用户名是
"admin",密码是“ admin”,则将字符串"admin:admin" 使用Base64编码算法加密。加密结果多是:YWtaW46YWRtaW4=。 - 而后,在Http请求中使用Authorization做为一个Header,“Basic YWtaW46YWRtaW4=“做为Header的值,发送给服务端。(注意这里使用Basic+空格+加密串)
- 服务器在收到这样的请求时,到达BasicAuthenticationFilter过滤器,将提取“ Authorization”的Header值,并使用用于验证用户身份的相同算法Base64进行解码。
- 解码结果与登陆验证的用户名密码匹配,匹配成功则能够继续过滤器后续的访问。
因此,HttpBasic模式真的是很是简单又简陋的验证模式,Base64的加密算法是可逆的,你知道上面的原理,分分钟就破解掉。咱们彻底可使用PostMan工具,发送Http请求进行登陆验证。spring-boot
期待您的关注
- 博主最近新写了一本书:《手摸手教您学习SpringBoot系列-16章97节》
- 本文转载注明出处(必须带链接,不能只转文字):字母哥博客。
- 1. 详解Spring Security的HttpBasic登陆验证模式
- 2. 详解Spring Security的formLogin登陆认证模式
- 3. SpringBoot集成Spring Security作登陆验证
- 4. 万字长文:详解Spring Security基于表单登陆的认证模式
- 5. spring security表单认证或HttpBasic
- 6. Spring security登陆新增图片验证码验证
- 7. Spring Security 登陆校验 源码解析
- 8. Spring Boot:基于JWT和Spring Security的登陆验证
- 9. spring boot 整合 spring security 登陆认证
- 10. Spring Security登陆验证流程源码解析
- 更多相关文章...
- • Spring体系结构详解 - Spring教程
- • DTD 验证 - DTD 教程
- • 委托模式
- • Flink 数据传输及反压详解
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 详解Spring Security的HttpBasic登陆验证模式
- 2. 详解Spring Security的formLogin登陆认证模式
- 3. SpringBoot集成Spring Security作登陆验证
- 4. 万字长文:详解Spring Security基于表单登陆的认证模式
- 5. spring security表单认证或HttpBasic
- 6. Spring security登陆新增图片验证码验证
- 7. Spring Security 登陆校验 源码解析
- 8. Spring Boot:基于JWT和Spring Security的登陆验证
- 9. spring boot 整合 spring security 登陆认证
- 10. Spring Security登陆验证流程源码解析