點擊上方?好好學java?，選擇?星標?公眾號

重磅資訊、干貨，第一時間送達 今日推薦：在滴滴和頭條干了 2 年后端開發，太真實…個人原創100W+訪問量博客：點擊前往，查看更多

HttpBasic 認證有一定的局限性與安全隱患，因此在實際項目中使用并不多，但是，有的時候為了測試方便，開啟 HttpBasic 認證能方便很多。

因此松哥今天還是來和大家簡單聊一聊 Spring Security 中的 HttpBasic 認證。

1.什么是 HttpBasic

Http Basic 認證是 Web 服務器和客戶端之間進行認證的一種方式，最初是在 HTTP1.0 規范（RFC 1945）中定義，后續的有關安全的信息可以在 HTTP 1.1 規范（RFC 2616）和 HTTP 認證規范（RFC 2617）中找到。

HttpBasic 最大的優勢在于使用非常簡單，沒有復雜的頁面交互，只需要在請求頭中攜帶相應的信息就可以認證成功，而且它是一種無狀態登錄，也就是 session 中并不會記錄用戶的登錄信息。

HttpBasic 最大的問題在于安全性，因為用戶名/密碼只是簡單的通過 Base64 編碼之后就開始傳送了，很容易被工具嗅探到，進而暴露用戶信息。

Spring Security 中既支持基本的 HttpBasic 認證，也支持 Http 摘要認證，Http 摘要認證是在 HttpBasic 認證的基礎上，提高了信息安全管理，但是代碼復雜度也提高了不少，所以 Http 摘要認證使用并不多。

這里，松哥將和大家分享 Spring Security 中的這兩種認證方式。

2.HttpBasic 認證

我們先來看實現，再來分析它的認證流程。

首先創建一個 Spring Boot 項目，引入 Web 和 Spring Security 依賴，如下：

接下來創建一個測試接口：

@RestController public?class?HelloController?{@GetMapping("/hello")public?String?hello()?{return?"hello";} }

再開啟 HttpBasic 認證：

@Configuration public?class?SecurityConfig?extends?WebSecurityConfigurerAdapter?{@Overrideprotected?void?configure(HttpSecurity?http)?throws?Exception?{http.authorizeRequests().anyRequest().authenticated().and().httpBasic();} }

最后再在 application.properties 中配置基本的用戶信息，如下：

spring.security.user.password=123 spring.security.user.name=javaboy

配置完成后，啟動項目，訪問 /hello 接口，此時瀏覽器中會有彈出框，讓我們輸入用戶名/密碼信息：

此時我們查看請求響應頭，如下：

可以看到，瀏覽器響應了 401，同時還攜帶了一個 WWW-Authenticate 響應頭，這個是用來描述認證形式的，如果我們使用的是 HttpBasic 認證，默認響應頭格式如圖所示。

接下來我們輸入用戶名密碼，點擊 Sign In 進行登錄，登錄成功后，就可以成功訪問到 /hello 接口了。

我們查看第二次的請求，如下：

大家可以看到，在請求頭中，多了一個 Authorization 字段，該字段的值為 Basic amF2YWJveToxMjM=，

amF2YWJveToxMjM= 是一個經過 Base64 編碼之后的字符串，我們將該字符串解碼之后發現，結果如下：

String?x?=?new?String(Base64.getDecoder().decode("amF2YWJveToxMjM="),?"UTF-8");

解碼結果如下：

可以看到，這就是我們的用戶名密碼信息。用戶名/密碼只是經過簡單的 Base64 編碼之后就開始傳遞了，所以說，這種認證方式比較危險??。

我們再來稍微總結一下 HttpBasic 認證的流程：

瀏覽器發出請求，說要訪問 /hello 接口。

服務端返回 401，表示未認證。同時在響應頭中攜帶 WWW-Authenticate 字段來描述認證形式。

瀏覽器收到 401 響應之后，彈出對話框，要求用戶輸入用戶名/密碼，用戶輸入完用戶名/密碼之后，瀏覽器會將之進行 Base64 編碼，編碼完成后，發送到服務端。

服務端對瀏覽器傳來的信息進行解碼，并校驗，當沒問題的時候，給客戶端作出響應。

大致的流程就是這樣。

3.Http 摘要認證

Http 摘要認證與 HttpBasic 認證基本兼容，但是要復雜很多，這個復雜不僅體現在代碼上，也體現在請求過程中。

Http 摘要認證最重要的改進是他不會在網絡上發送明文密碼。它的整個認證流程是這樣的：

瀏覽器發出請求，說要訪問 /hello 接口。

服務端返回 401，表示未認證，同時在響應頭中攜帶 WWW-Authenticate 字段來描述認證形式。不同的是，這次服務端會計算出一個隨機字符串，一同返回前端，這樣可以防止重放攻擊（所謂重放攻擊就是別人嗅探到你的摘要信息，把摘要當成密碼一次次發送服務端，加一個會變化的隨機字符串，生成的摘要信息就會變化，就可以防止重放攻擊），如下：

同時，服務端返回的字段還有一個 qop，表示保護級別，auth 表示只進行身份驗證；auth-int 表示還要校驗內容。

nonce 是服務端生成的隨機字符串，這是一個經過 Base64 編碼的字符串，經過解碼我們發現，它是由過期時間和密鑰組成的。在以后的請求中 nonce 會原封不動的再發回給服務端。

客戶端選擇一個算法，根據該算法計算出密碼以及其他數據的摘要，如下：

可以看到，客戶端發送到服務端的數據比較多。

• nonce 就是服務端發來的隨機字符串。

• response 是生成的摘要信息。

• nc 表示請求此時，可以防止重放攻擊。

• cnonce 表示客戶端發送給服務端的隨機字符串。

服務端根據客戶端發送來的用戶名，可以查詢出用戶密碼，再根據用戶密碼可以計算出摘要信息，再將摘要信息和客戶端發送來的摘要信息進行對比，就能確認用戶身份。

這就是整個流程。

一言以蔽之，原本的用戶密碼被摘要信息代替了，為了安全，摘要信息會根據服務端返回的隨機字符串而發生變化，服務端根據用戶密碼，同樣算出密碼的摘要信息，再和客戶端傳來的摘要信息進行對比，沒問題的話，用戶就算認證成功了。當然，在此基礎上還加了一些過期限制、重放攻擊防范機制等。

好了，那這個在 Spring Security 代碼中該怎么實現呢？

@Configuration public?class?SecurityConfig?extends?WebSecurityConfigurerAdapter?{@Overrideprotected?void?configure(HttpSecurity?http)?throws?Exception?{http.authorizeRequests().anyRequest().authenticated().and().csrf().disable().exceptionHandling().authenticationEntryPoint(digestAuthenticationEntryPoint()).and().addFilter(digestAuthenticationFilter());}@BeanDigestAuthenticationEntryPoint?digestAuthenticationEntryPoint()?{DigestAuthenticationEntryPoint?entryPoint?=?new?DigestAuthenticationEntryPoint();entryPoint.setKey("javaboy");entryPoint.setRealmName("myrealm");entryPoint.setNonceValiditySeconds(1000);return?entryPoint;}@BeanDigestAuthenticationFilter?digestAuthenticationFilter()?{DigestAuthenticationFilter?filter?=?new?DigestAuthenticationFilter();filter.setAuthenticationEntryPoint(digestAuthenticationEntryPoint());filter.setUserDetailsService(userDetailsService());return?filter;}@Override@Beanprotected?UserDetailsService?userDetailsService()?{InMemoryUserDetailsManager?manager?=?new?InMemoryUserDetailsManager();manager.createUser(User.withUsername("javaboy").password("123").roles("admin").build());return?manager;}@BeanPasswordEncoder?passwordEncoder()?{return?NoOpPasswordEncoder.getInstance();}}

配置無非就是兩方面，一方面是服務端隨機字符串的生成，另一方面就是客戶端摘要信息的校驗。

首先提供 DigestAuthenticationEntryPoint 的實例，配置服務端隨機數生成的一寫參數，例如 nonce 有效期（多長時間會變），realm 的名字，以及生成 nonce 時所需要的 key。nonce 的具體生成邏輯在 DigestAuthenticationEntryPoint#commence 方法中：

public?void?commence(HttpServletRequest?request,?HttpServletResponse?response,AuthenticationException?authException)?throws?IOException?{HttpServletResponse?httpResponse?=?response;long?expiryTime?=?System.currentTimeMillis()?+?(nonceValiditySeconds?*?1000);String?signatureValue?=?DigestAuthUtils.md5Hex(expiryTime?+?":"?+?key);String?nonceValue?=?expiryTime?+?":"?+?signatureValue;String?nonceValueBase64?=?new?String(Base64.getEncoder().encode(nonceValue.getBytes()));String?authenticateHeader?=?"Digest?realm=\""?+?realmName?+?"\",?"+?"qop=\"auth\",?nonce=\""?+?nonceValueBase64?+?"\"";if?(authException?instanceof?NonceExpiredException)?{authenticateHeader?=?authenticateHeader?+?",?stale=\"true\"";}if?(logger.isDebugEnabled())?{logger.debug("WWW-Authenticate?header?sent?to?user?agent:?"+?authenticateHeader);}httpResponse.addHeader("WWW-Authenticate",?authenticateHeader);httpResponse.sendError(HttpStatus.UNAUTHORIZED.value(),HttpStatus.UNAUTHORIZED.getReasonPhrase()); }

在這段代碼中，首先獲取到過期時間，然后給過期時間和 key 一起計算出消息摘要，再將 nonce 和消息摘要共同作為 value，計算出一個 Base64 編碼字符，再將該編碼字符寫回到前端。

配置 DigestAuthenticationFilter 過濾器，主要用來處理前端請求。過濾器的源碼比較長，我這里就不貼出來了，一個核心的思路就是從前端拿到用戶請求的摘要信息，服務端也根據一直的信息算出來一個摘要，再根據傳過來的摘要信息進行比對，進而確認用戶身份。

配置完成后，重啟服務端進行測試。

測試效果其實和 HttpBasic 認證是一樣的，所有的變化，只是背后的實現有所變化而已，用戶體驗是一樣的。

4.小結

Http 摘要認證的效果雖然比 HttpBasic 安全，但是其實大家看到，整個流程下來解決的安全問題其實還是非常有限。而且代碼也麻煩了很多，因此這種認證方式并未廣泛流行開來。

Http 認證小伙伴們作為一個了解即可，里邊的有一些思想還是挺有意思的，可以激發我們解決其他問題的思路，例如對于重放攻擊的的解決辦法，我們如果想自己防御重放攻擊，就可以參考這里的實現思路。

附上我歷時三個月總結的?Java 面試 + Java 后端技術學習指南，筆者這幾年及春招的總結，github 1.1k star，拿去不謝！下載方式1.?首先掃描下方二維碼 2.?后臺回復「Java面試」即可獲取

總結

以上是生活随笔為你收集整理的Spring Boot 中如何实现 HTTP 认证？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。