对于最新的稳定版本,请使用 Spring Security 7.0.4spring-doc.cadn.net.cn

基本认证

本节详细介绍了 Spring Security 如何为基于 Servlet 的应用程序提供HTTP 基本身份验证支持。spring-doc.cadn.net.cn

本节介绍 HTTP 基本身份验证在 Spring Security 中的工作原理。 首先,我们会看到 WWW-Authenticate 头部被发送回未经身份验证的客户端:spring-doc.cadn.net.cn

basicauthenticationentrypoint
图1. 发送 WWW-Authenticate 头

上图基于我们的 SecurityFilterChain 图构建。spring-doc.cadn.net.cn

number 1首先,用户向资源发起未通过身份验证的请求/private未经授权不得访问。spring-doc.cadn.net.cn

number 2Spring Security 的AuthorizationFilter表示未认证的请求是拒绝访问通过抛出AccessDeniedException.spring-doc.cadn.net.cn

number 3由于用户未通过身份验证,ExceptionTranslationFilter启动开始身份验证. 已配置的AuthenticationEntryPointBasicAuthenticationEntryPoint,它会发送一个 WWW-Authenticate 头。 TheRequestCache通常是NullRequestCache由于客户端能够重放其最初请求的请求,因此不会保存该请求。spring-doc.cadn.net.cn

默认的 HTTP Basic Auth 提供程序将在请求包含 X-Requested-By: XMLHttpRequest 头时,在 401 响应中同时抑制响应体和 WWW-Authenticate 头。 这允许前端实现自己的认证逻辑,而不是触发浏览器的登录对话框。 如需覆盖此行为,请实现您自己的 BasicAuthenticationEntryPointspring-doc.cadn.net.cn

当客户端收到 WWW-Authenticate 响应头时,它就知道应该使用用户名和密码重新尝试请求。 下图展示了用户名和密码的处理流程:spring-doc.cadn.net.cn

basicauthenticationfilter
图2. 用户名和密码认证

上图基于我们的 SecurityFilterChain 图构建。spring-doc.cadn.net.cn

number 1当用户提交用户名和密码时,BasicAuthenticationFilter创建UsernamePasswordAuthenticationToken,这是一种类型的Authentication通过提取用户名和密码HttpServletRequest.spring-doc.cadn.net.cn

number 2接下来,UsernamePasswordAuthenticationToken被传递到AuthenticationManager需要身份验证。 详细信息如下AuthenticationManager看起来取决于用户信息已存储.spring-doc.cadn.net.cn

number 3如果身份验证失败,则失败.spring-doc.cadn.net.cn

  1. SecurityContextHolder 已被清空。spring-doc.cadn.net.cn

  2. RememberMeServices.loginFail 被调用。 如果未配置“记住我”功能,此操作将无效果。 请参阅 Javadoc 中的 RememberMeServices 接口。spring-doc.cadn.net.cn

  3. AuthenticationEntryPoint 被调用以再次触发发送 WWW-Authenticate。 请参阅 Javadoc 中的 AuthenticationEntryPoint 接口。spring-doc.cadn.net.cn

number 4如果认证成功,则成功.spring-doc.cadn.net.cn

  1. Authentication 被设置到 SecurityContextHolder 上。spring-doc.cadn.net.cn

  2. RememberMeServices.loginSuccess 被调用。 如果未配置“记住我”功能,此操作将无效果。 请参阅 Javadoc 中的 RememberMeServices 接口。spring-doc.cadn.net.cn

  3. The BasicAuthenticationFilter 调用 FilterChain.doFilter(request,response) 以继续执行其余的应用程序逻辑。 请参阅 Javadoc 中的 BasicAuthenticationFilterspring-doc.cadn.net.cn

默认情况下,Spring Security 的 HTTP 基本身份验证支持是启用的。 然而,一旦提供了任何基于 Servlet 的配置,就必须显式地启用 HTTP Basic。spring-doc.cadn.net.cn

以下示例展示了一个最小化且显式的配置:spring-doc.cadn.net.cn

显式 HTTP 基本身份验证配置
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.httpBasic(withDefaults());
	return http.build();
}
<http>
	<!-- ... -->
	<http-basic />
</http>
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
	http {
		// ...
		httpBasic { }
	}
	return http.build()
}