对于最新的稳定版本,请使用 Spring Security 6.5.3spring-doc.cadn.net.cn

基本身份验证

本节详细介绍了 Spring Security 如何为基于 servlet 的应用程序提供对基本 HTTP 身份验证的支持。spring-doc.cadn.net.cn

本节介绍 HTTP 基本身份验证在 Spring Security 中的工作原理。 首先,我们看到 WWW-Authenticate 标头被发送回未经身份验证的客户端:spring-doc.cadn.net.cn

基本身份验证入口点
图 1.发送 WWW-Authenticate 标头

上图基于我们的SecurityFilterChain图。spring-doc.cadn.net.cn

1号首先,用户向资源发出未经身份验证的请求/private它没有被授权。spring-doc.cadn.net.cn

2号Spring Security 的FilterSecurityInterceptor表示通过抛出AccessDeniedException.spring-doc.cadn.net.cn

3号由于用户未经过身份验证,ExceptionTranslationFilter启动启动身份验证。 配置的AuthenticationEntryPointBasicAuthenticationEntryPoint,它发送一个 WWW-Authenticate 标头。 这RequestCache通常是NullRequestCache这不会保存请求,因为客户端能够重播它最初请求的请求。spring-doc.cadn.net.cn

当客户端收到WWW-Authenticate标头,它知道它应该使用用户名和密码重试。 下图显示了正在处理的用户名和密码的流:spring-doc.cadn.net.cn

基本身份验证过滤器
图 2.验证用户名和密码

上图基于我们的SecurityFilterChain图。spring-doc.cadn.net.cn

1号当用户提交用户名和密码时,BasicAuthenticationFilter创建一个UsernamePasswordAuthenticationToken,这是一种Authentication通过从HttpServletRequest.spring-doc.cadn.net.cn

2号接下来,UsernamePasswordAuthenticationToken被传递到AuthenticationManager待认证。 什么的细节AuthenticationManager看起来取决于用户信息的存储方式。spring-doc.cadn.net.cn

3号如果身份验证失败,则失败spring-doc.cadn.net.cn

  1. SecurityContextHolder 被清除。spring-doc.cadn.net.cn

  2. RememberMeServices.loginFail被调用。 如果记住我没有配置,这是一个无作。 请参阅RememberMeServicesJavadoc 中的接口。spring-doc.cadn.net.cn

  3. AuthenticationEntryPoint被调用以触发再次发送 WWW-Authenticate。 请参阅AuthenticationEntryPointJavadoc 中的接口。spring-doc.cadn.net.cn

4号如果身份验证成功,则成功spring-doc.cadn.net.cn

  1. 身份验证是在 SecurityContextHolder 上设置的。spring-doc.cadn.net.cn

  2. RememberMeServices.loginSuccess被调用。 如果记住我没有配置,这是一个无作。 请参阅RememberMeServicesJavadoc 中的接口。spring-doc.cadn.net.cn

  3. BasicAuthenticationFilter调用FilterChain.doFilter(request,response)以继续其余的应用程序逻辑。 请参阅BasicAuthenticationFilterJavadoc 中的类spring-doc.cadn.net.cn

默认情况下,Spring Security 的 HTTP 基本身份验证支持处于启用状态。 但是,一旦提供了任何基于 servlet 的配置,就必须显式提供 HTTP Basic。spring-doc.cadn.net.cn

以下示例显示了最小的显式配置:spring-doc.cadn.net.cn

显式 HTTP 基本配置
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.httpBasic(withDefaults());
	return http.build();
}
<http>
	<!-- ... -->
	<http-basic />
</http>
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
	http {
		// ...
		httpBasic { }
	}
	return http.build()
}