实现 HTTP 基本认证( Spring Boot 实践(✧ω✧))

最新推荐文章于 2025-04-08 10:02:47 发布
最新推荐文章于 2025-04-08 10:02:47 发布
阅读量780 收藏 26
点赞数 24
文章标签: http spring boot 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_73217694/article/details/145408596
版权

读前扫盲

HTTP 基本认证

1. 身份验证方式

HTTP 基本认证是一种基于 用户名和密码 的客户端-服务器身份验证机制。它的工作原理如下:

  • 客户端(如浏览器)在访问受保护的资源时,需要提供用户名和密码。
  • 服务器验证客户端提供的凭证,如果验证通过,则允许访问资源;否则返回错误。
2. Authorization 头
  • 客户端在发送请求时,会将用户名和密码以 username:password 的形式拼接,然后进行 Base64 编码
  • 编码后的字符串通过 HTTP 请求头的 Authorization 字段发送给服务器。
    • 示例:Authorization: Basic dXNlcjpwYXNzd29yZA==
    • 其中 dXNlcjpwYXNzd29yZA==user:password 的 Base64 编码结果。
3. 401 Unauthorized
  • 如果客户端未提供凭证,或者提供的凭证无效,服务器会返回 401 Unauthorized 状态码。
  • 该状态码表示客户端未通过身份验证,无法访问请求的资源。
4. WWW-Authenticate: Basic
  • 当服务器返回 401 Unauthorized 时,会在响应头中包含 WWW-Authenticate: Basic 字段。
  • 该字段提示客户端需要使用 HTTP 基本认证,并提供用户名和密码。
    • 示例响应头:
      HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic realm="My App"
5. Base64
  • Base64 是一种将二进制数据编码为 ASCII 字符串的编码方式。
  • 在 HTTP 基本认证中,用户名和密码以 username:password 的形式拼接,然后进行 Base64 编码。
    • 示例:
      • 原始字符串:user:password
      • Base64 编码后:dXNlcjpwYXNzd29yZA==
  • 注意:Base64 不是加密,只是一种编码方式,容易被解码。
6. 安全性
  • HTTP 基本认证的凭证(Base64 编码的用户名和密码)在传输过程中是 明文,容易被拦截和解码。
  • 为了提高安全性,必须与 HTTPS 结合使用,通过 SSL/TLS 加密传输数据,防止凭证被窃取。
7. HTTP 安全策略
  • 使用 HTTPS
    • 通过 SSL/TLS 加密通信,防止凭证在传输过程中被窃取。
  • 避免在 URL 中传递敏感信息
    • URL 中的参数可能会被记录在日志或浏览器历史中,导致信息泄露。
  • 强密码策略
    • 要求用户使用强密码,并定期更新密码。
  • 结合其他安全机制
    • 使用更安全的身份验证方式(如 OAuth2、JWT)来增强安全性。
  • 限制访问频率
    • 防止暴力破解,可以通过限制登录尝试次数来增强安全性。

总结

HTTP 基本认证是一种简单但安全性较低的身份验证方式,适用于内部系统或低安全性场景。它的核心流程如下:

  1. 客户端发送请求时,通过 Authorization 头传递 Base64 编码的用户名和密码。
  2. 服务器验证凭证,验证通过则允许访问,否则返回 401 Unauthorized
  3. 为了提高安全性,必须结合 HTTPS 使用,并遵循其他安全策略。

在实际应用中,建议在低安全性场景中使用 HTTP 基本认证,而在高安全性场景中结合 OAuth2、JWT 等更安全的机制。

正文开始:

1. HTTP 基本认证

HTTP 基本认证(Basic Authentication)是一种简单的身份验证方式,客户端在请求时通过 Authorization 头传递用户名和密码(Base64 编码)。

知识点

  1. 核心组件

    • httpBasic():启用 HTTP 基本认证。
    • UserDetailsService:提供用户信息。
    • PasswordEncoder:加密和验证密码。

  2. 流程

    • 客户端发送请求时,服务器返回 401 Unauthorized,并在响应头中包含 WWW-Authenticate: Basic
    • 客户端将用户名和密码以 username:password 的形式进行 Base64 编码,并通过 Authorization 头发送。
    • 服务器解码并验证用户名和密码。

  3. 安全性

    • HTTP 基本认证的凭证是 Base64 编码的,容易被解码,因此必须与 HTTPS 结合使用。
示例代码

以下是一个实现 HTTP 基本认证的 Spring Boot 项目示例:

1. 依赖配置

pom.xml 中添加 Spring Security 依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
2. 配置 SecurityFilterChain

SecurityConfig 类中配置 HTTP 基本认证:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorize -> authorize
                .anyRequest().authenticated() // 所有请求都需要认证
            )
            .httpBasic(httpBasic -> httpBasic.realmName("My App")); // 启用 HTTP 基本认证
        return http.build();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.builder()
            .username("user")
            .password(passwordEncoder().encode("password"))
            .roles("USER")
            .build();
        return new InMemoryUserDetailsManager(user);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
3. 控制器

创建一个简单的控制器:

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HomeController {

    @GetMapping("/home")
    public String home() {
        return "Welcome to the home page!";
    }
}
4. 运行项目

启动项目后,访问 http://localhost:8080/home,浏览器会弹出登录框,输入用户名 user 和密码 password 即可访问。

2. Remember-Me 功能

Remember-Me 功能允许用户在关闭浏览器后仍然保持登录状态。Spring Security 通过生成一个 Remember-Me Cookie 来实现这一功能。

知识点

  1. 核心组件

    • rememberMe():启用 Remember-Me 功能。
    • tokenRepository:用于管理 Remember-Me Token。
    • key():设置 Remember-Me 的密钥,用于加密 Token。

  2. 流程

    • 用户登录时,选择“记住我”。
    • 服务器生成一个 Remember-Me Token 并存储在 Cookie 中。
    • 用户再次访问时,服务器通过 Cookie 中的 Token 自动登录。

  3. 安全性

    • Remember-Me Token 默认有效期为 2 周。
    • 建议使用持久化 Token 存储(如数据库)以增强安全性。
示例代码

以下是一个实现 Remember-Me 功能的 Spring Boot 项目示例:

1. 依赖配置

pom.xml 中添加 Spring Security 和数据库依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>
<dependency>
    <groupId>com.h2database</groupId>
    <artifactId>h2</artifactId>
    <scope>runtime</scope>
</dependency>
2. 配置 SecurityFilterChain

SecurityConfig 类中配置 Remember-Me 功能:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    private final DataSource dataSource;

    public SecurityConfig(DataSource dataSource) {
        this.dataSource = dataSource;
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorize -> authorize
                .anyRequest().authenticated() // 所有请求都需要认证
            )
            .formLogin(form -> form
                .loginPage("/login") // 自定义登录页面
                .permitAll()
            )
            .rememberMe(remember -> remember
                .tokenRepository(persistentTokenRepository()) // 使用数据库存储 Token
                .key("my-secure-key") // 设置 Remember-Me 密钥
                .tokenValiditySeconds(1209600) // Token 有效期为 2 周
            );
        return http.build();
    }

    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);
        return tokenRepository;
    }

    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.builder()
            .username("user")
            .password(passwordEncoder().encode("password"))
            .roles("USER")
            .build();
        return new InMemoryUserDetailsManager(user);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
3. 控制器

创建一个控制器来处理登录页面:

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class LoginController {

    @GetMapping("/login")
    public String login() {
        return "login"; // 返回 login.html
    }
}
4. 登录页面

src/main/resources/templates 下创建 login.html

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <title>Login</title>
</head>
<body>
    <h1>Login</h1>
    <form th:action="@{/login}" method="post">
        <div>
            <label for="username">Username:</label>
            <input type="text" id="username" name="username" required>
        </div>
        <div>
            <label for="password">Password:</label>
            <input type="password" id="password" name="password" required>
        </div>
        <div>
            <input type="checkbox" id="remember-me" name="remember-me">
            <label for="remember-me">Remember Me</label>
        </div>
        <div>
            <button type="submit">Login</button>
        </div>
    </form>
</body>
</html>
5. 运行项目

启动项目后,访问 http://localhost:8080/login,输入用户名 user 和密码 password,勾选“Remember Me”即可启用 Remember-Me 功能。

wiki258
关注
Spring Boot实现访问接口的Basic认证
oscar999的专栏
02-08 1575
Spring Boot项目中使用Spring Security可以实现对某些接口实现Basic 认证, 需要使用用户名和密码登录之后才能访问接口。
Java云原生如何自动避险?5大神盾方案让你的代码比瑞士银行更安全!
java专栏
02-26 466
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀(戴上安全帽掏出放大镜)各位云端探险家注意啦!今天我们要给Java套上钢铁侠战衣,在云原生的星辰大海里开启自动防护模式!准备好见证安全与合规的魔法融合了吗?
Spring Boot - 开启 HttpBasic 认证方式
qq_29761395的博客
01-03 6090
文章目录思路实践环境新建项目测试参考 思路 想要开启 HttpBasic 认证方式,服务器需要设置响应头 WWW-Authenticate: Basic realm="Realm"。当客户端(浏览器)访问指定的 URL,就会触发 HttpBasic 认证方式: 当用户在 Sign in 对话框中输入用户名和密码,点击 Sign in 按钮之后,浏览器使用 Base64 对用户名和密码进行编码,然后将其放在 Authorization 请求头中发送给服务器: 注意:因为浏览器使用 Base64 对用户名和
(一)HTTP 基本认证Basic Authentication)原理过程,以及esp32 idf服务器和客户端例程
最新发布
yiyi8399的博客
04-08 925
Base64是一种将二进制数据转换为 ASCII 字符串的编码方式,使用 64 个可打印字符()表示二进制内容,并在末尾用填充。其核心目的是解决二进制数据在纯文本协议(如 HTTP)中传输时的兼容性问题。HTTP 基本认证Basic Authentication) 作用:将用户名和密码拼接为 username:password 格式后 Base64 编码,置于 Authorization: Basic <凭证> 头中传输。例如:Base64优势文本协议兼容性。
HTTP基本认证(Basic Authentication)
热门推荐
一个写了10年bug的程序员日常笔记。
11-30 3万+
在浏览网页时候,浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。 1、 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。 如下图。2、:浏览器在接受到401 Unautho
HTTP基本认证
qq_36428954的博客
05-23 4122
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供用户名和密码的一种方式。 在进行基本认证的过程里,请求的HTTP头字段会包含Authorization字段,形式如下:Authorization: Basic <憑證>,该凭证是用户和密码的组和的base64编码。 最初,基本认证是定义在HTTP 1.0规范(RFC 1945)中,后续的有关安全的信息可以在HTTP 1.1规范(RFC 2616...
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 4421
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
Http基本认证
白羊座的橙子
08-06 495
HTTP摘要认证HTTP基本认证一样,也是在RFC2616中定义的认证模式与 HTTP 基本认证相比,HTTP 摘要认证使用通信双方都可知的口令进行校验,且最终的传输数据并非明文形式HTTP 摘要基本认证意在解决 HTTP 基本认证存在的大部分严 重漏洞,但不应将其认为是Web安全的最终解决方案。在未经验证的请求发起时,服务器会首先返回一个401应答,并携带相关的参数,期待客户端依据这些参数继续做出回应,以完成整个验证过程。
HTTP 基本认证 HttpBasic
qq_35930739的博客
10-16 8806
HTTP认证机制 基本认证、摘要认证 一、基本认证 用BASE64算法加密后的字符串放在HTTP Request中的Header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication) Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 HTTPBasic是由HTTP协议定义的最基础的认证方式。每次请求时.
自己用html+springboot写了个网盘项目(探讨+吐槽+唠嗑大杂烩)
cancerai的博客
02-27 1473
最近一直在学习java和springboot,于是哈,我突发奇想,想自己写一个网盘(因为我觉得可以写出来,虽然是新手)。而且放在家里还能当个小云盘用呢。之前我在网上有没有看了好多的开源网盘,要么太丑了,要么就是功能太杂,和我的预想不符合。那么我想自己开发一个网盘,反正我也在学编程,就当做练习了。项目的部署详细步骤我放在文章最后,感兴趣的可以研究一下,有任何问题都可以在留言区或在gitee提交issues。
DDD:根据maven的脚手架archetype生成ddd多模块项目目录结构
山里人的博客
05-04 1440
随着领域驱动的兴起,很多人都想学习如何进行ddd的项目开发,那ddd的项目结构是怎么样的?又是如何结合SpringBoot呢?那么针对这个问题,笔者使用maven的archetype封装一个相对通用的ddd的项目目录,方便一键生成DDD项目目录……
HTTP - 基本认证
weixin_30664539的博客
05-18 75
有数百万的人在用 Web 进行私人事务处理,访问私有的数据。通过 Web 可以很方便地访问这些信息,但是仅仅是方便访问还是不够的。我们要保证只有特定的人能看到我们的敏感信息并且能够执行我们的特权事务。并不是所有的信息都能够公开发布的。服务器需要通过某种方式来了解用户身份。一旦服务器知道了用户身份,就可以判定用户可以访问的事务和资源了。通常是以提供用户名和密码的方式来进行认证的。基本认证Basic...
HTTP认证
以梦为马
04-14 3905
 一、前言       HTTP认证是Web服务器对客户端的权限进行认证的一种方式,能够为Web应用提供一定程度的安全保障。目前一些Web应用项目已经提出了采用HTTP认证的需求。一般的Web容器都提供基本认证和摘要认证的API。RFC2617对此有详细的描述。 二、HTTP认证机制        HTTP认证采用“质询-响应(challenge-response)
HTTP 认证方式
翔云
01-20 1471
本文主要介绍HTTP 认证方式有哪些及在Python中的基本使用方式。
HTTP协议之基本认证
kobejayandy的专栏
03-17 1199
http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢?   阅读目录 什么是HTTP基本认证HTTP基本认证的过程HTTP基本认证的优点每次都要进行认证HTTP基本认证HTTPS一起使用就很安全HTTP OAuth认证其他认证客户端的使用   什么是HTTP基本
http基本认证
jameskaron的专栏
07-13 173
1.简介: 时候浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。下面来看看一看这个认证的工作过程:第一步:  客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话,服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header "WWW-Authenticate" 中添加信息。   2.实...
HTTP认证基础
weixin_34406796的博客
08-21 280
看了几天https,感觉概念很清楚,细节特模糊,意识到又在隔空盖楼了,赶紧补补关于认证的基础~ 基础认证(Basic) 说直白点,认证就是让访问服务的人提供用户名和密码,然后对用户名和密码做校验。 http的质询/响应认证框架 客户端和服务器的质询/响应认证过程: 客户端发送请求; 服务器收到请求后,判断如果请求的资源需要认证,则返回4...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值