Spring Http Basic(基本)和Digest(摘要)验证

最新推荐文章于 2022-10-09 16:37:46 发布
最新推荐文章于 2022-10-09 16:37:46 发布
阅读量2.8k 收藏
点赞数
分类专栏: java_web_EE_spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrcharles/article/details/50475467
版权

Basic(基本)和Digest(摘要)验证都是web应用中很受欢迎的可选机制。 Basic验证一般用来处理无状态的客户端,它们在每次请求都附带它们的证书。 很常见的用法是把它和基于表单的验证一起使用,这里的应用会同时使用基于浏览器的用户接口和web服务。 然而,basic验证使用原文传送密码,所以应该只通过加密的传输途径发送,比如HTTPS。

9.1. BasicAuthenticationFilter

BasicAuthenticationFilter负责处理通过HTTP头部发送来的basic验证证书。 它可以用来像对待普通用户代理一样(比如IE和Navigator)认证由Spring远程协议的调用(比如Hessian和Burlap)。 HTTP基本认证的执行标准定义在RFC 1945,11章,BasicAuthenticationFilter符合这个RFC。 基本认证是一个极具吸引力的认证方法,因为它在用户代理发布很广泛, 实现也特别简单(只需要对username:password进行Base64编码,再放到HTTP头部里)。

9.1.1. 配置

要实现HTTP基本认证,要先在过滤器链里定义BasicAuthenticationFilter。 还要在application context里定义BasicAuthenticationFilter和协作的类:

<bean id="basicAuthenticationFilter"
  class="org.springframework.security.web.authentication.www.BasicAuthenticationFilter">
  <property name="authenticationManager" ref="authenticationManager"/>
  <property name="authenticationEntryPoint" ref="authenticationEntryPoint"/>
</bean>

<bean id="authenticationEntryPoint"
  class="org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint">
  <property name="realmName" value="Name Of Your Realm"/>
</bean>

配置好的AuthenticationManager会处理每个认证请求。 如果认证失败,配置好的AuthenticationEntryPoint会用来重试认证过程。 通常你会使用BasicAuthenticationEntryPoint,它会返回一个401响应,使用对应的头部重试HTTP基本验证。 如果验证成功,就把得到的Authentication对象放到SecurityContextHolder里。

如果认证事件成功,或者因为HTTP头部没有包含支持的认证请求所以没有进行认证,过滤器链会像通常一样继续下去。 唯一打断过滤器的情况是在认证失败并调用AuthenticationEntryPoint的时候,向上面段落里讨论的那样。

9.2. DigestAuthenticationFilter

Spring Security提供了一个 DigestAuthenticationFilter,它可以处理HTTP头部中的摘要认证证书。 摘要认证在尝试着解决许多基本认证的缺陷,特别是保证不会通过纯文本发送证书。 许多用户支持摘要式认证,包括FireFox和IE。 HTTP摘要式认证的执行标准定义在RFC 2617,它是对RFC 2069这个早期摘要式认证标准的更新。 Spring Security DigestAuthenticationFilter会保证"auth"的安全质量(qop),它订明在RFC 2617中,并与RFC 2069提供了兼容。 如果你需要使用没有加密的HTTP(比如没有TLS/HTTP),还希望认证达到最大的安全性的时候,摘要式认证便具有很高吸引力。 事实上,摘要式认证是WebDAV协议的强制性要求,写在RFC 2518的17.1章,所以我们应该期望看到更多的代替基本认证。

摘要式认证,是表单认证,基本认证和摘要式认证中最安全的选择,不过更安全也意味着更复杂的用户代理实现。 摘要式认证的中心是一个“nonce”。 这是由服务器生成的一个值。 Spring Security的nonce采用下面的格式:

                base64(expirationTime + ":" + md5Hex(expirationTime + ":" + key))

                expirationTime:   The date and time when the nonce expires, expressed in milliseconds
                key:              A private key to prevent modification of the nonce token

这个DigestAuthenticationEntryPoint有一个属性,通过指定一个key来生成nonce标志,通过nonceValiditySeconds属性来决定过期时间(默认300,等于5分钟)。 只要nonce是有效的,摘要就会通过串联字符串计算出来,包括用户名,密码,nonce,请求的URI,一个客户端生成nonce(仅仅是一个随机值,用户代理每个请求生成一个),realm名称等等,然后执行一次MD5散列。 服务器和用户代理都要执行这个摘要计算,如果他们包含的值不同(比如密码),就会生成不同的散列码。 在Spring Security的实现中,如果服务器生成的nonce已经过期(但是摘要还是有效),DigestAuthenticationEntryPoint会发送一个"stale=true"头信息。 这告诉用户代理,这里不再需要打扰用户(像是密码和用户其他都是正确的),只是简单尝试使用一个新nonce。

DigestAuthenticationEntryPoint的 nonceValiditySeconds参数,会作为一个适当的值依附在你的程序上。 对安全要求很高的用户应该注意,一个被拦截的认证头部可以用来假冒主体,直到nonce达到expirationTime。 在选择合适的配置的时候,这是一个必须考虑到的关键性条件,但是在对安全性要求很高的程序里,第一次请求都会首先运行在TLS/HTTPS之上。

因为摘要式认证需要更复杂的实现,这里常常有用户代理的问题。 比如,IE不能在同一个会话的请求进程里阻止"透明"标志。 因此Spring Security把所有状态信息都概括到"nonce"标记里。 在我们的测试中,Spring Security在FireFox和IE里都可以工作,正确的处理nonce超时等等。

9.2.1. Configuration

现在我们重新看一下理论,让我们看看如何使用它。 为了实现HTTP摘要认证,必须在过滤器链里定义DigestAuthenticationFilter。 application context还需要定义DigestAuthenticationFilter和它需要的合作伙伴:

<bean id="digestnFilter" class=
    "org.springframework.security.web.authentication.www.DigestAuthenticationFilter">
  <property name="userDetailsService" ref="jdbcDaoImpl"/>
  <property name="authenticationEntryPoint" ref="digestEntryPoint"/>
  <property name="userCache" ref="userCache"/>
</bean>

<bean id="digestEntryPoint" class=
    "org.springframework.security.web.authentication.www.DigestAuthenticationEntryPoint">
  <property name="realmName" value="Contacts Realm via Digest Authentication"/>
  <property name="key" value="acegi"/>
  <property name="nonceValiditySeconds" value="10"/>
</bean>

需要配置一个UserDetailsService,因为 DigestAuthenticationFilter必须直接访问用户的纯文本密码。 如果你在DAO中使用编码过的密码,摘要式认证就没法工作。 DAO合作者,与UserCache一起,通常使用DaoAuthenticationProvider直接共享。 这个AuthenticationEntryPoint属性必须是DigestAuthenticationEntryPoint,这样DigestAuthenticationFilter可以在进行摘要计算时获得正确的realmNamekey

BasicAuthenticationFilter一样,如果认证成功,会把Authentication请求标记放到SecurityContextHolder中。 如果认证事件成功,或者认证不需要执行,因为HTTP头部没有包含摘要认证请求,过滤器链会正常继续。 过滤器链中断的唯一情况是,如果认证失败,就会像上面讨论的那样调用AuthenticationEntryPoint

摘要式认证的RFC要求附加功能范围,来更好的提升安全性。 比如,nonce可以在每次请求的时候变换。 但是,Spring Security的设计思路是最小复杂性的实现(毫无疑问,用户代理会出现不兼容),也避免保存服务器端的状态。 如果你想研究这些功能的更多细节,我们推荐你看一下RFC 2617。 像我们知道的那样,Spring Security实现类遵守了RFC的最低标准。

MrCharles
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
python pycurl验证basicdigest认证的方法
09-20
主要介绍了python pycurl验证basicdigest认证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 中如何实现 HTTP 认证?
江南一点雨的专栏
06-16 3710
HttpBasic 认证有一定的局限性与安全隐患,因此在实际项目中使用并不多,但是,有的时候为了测试方便,开启 HttpBasic 认证能方便很多。 因此松哥今天还是来和大家简单聊一聊 Spring Security 中的 HttpBasic 认证。 本文是 Spring Security 系列第 29 篇,阅读前面文章有助于更好理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你入门 Spring Security,别再问密码怎么解密了 手把手教你定制 Spring Secur
HTTP认证之摘要认证——Digest
u010068160的博客
08-07 1557
一、概述 Digest认证是为了修复基本认证协议的严重缺陷而设计的,秉承“绝不通过明文在网络发送密码”的原则,通过“密码摘要”进行认证,大大提高了安全性。 相对于基本认证,主要有如下改进: 绝不通过明文在网络上发送密码 可以有效防止恶意用户进行重放攻击 可以有选择的防止对报文内容的篡改 需要注意的是,摘要认证除了能够保护密码之外,并不能保护其他内容,与HTTPS配合使用仍是一个良好的选择。以下是摘要认证的具体流程图: 看到上面出现了那么多之前没见过的参数,...
http协议之digest(摘要)认证
热门推荐
jszj的专栏
05-13 4万+
参考网址: http://www.faqs.org/rfcs/rfc2617.html http://www.faqs.org/rfcs/rfc1321.html http://www.cnblogs.com/my_life/articles/2285649.html http://blog.sina.com.cn/s/blog_53b15ed5010006t9.html http://
ASP.NET Web API(三):安全验证之使用摘要认证(digest authentication)
weixin_34361881的博客
07-05 281
在前一篇文章中,主要讨论了使用HTTP基本认证的方法,因为HTTP基本认证的方式决定了它在安全性方面存在很大的问题,所以接下来看看另一种验证的方式:digest authentication,即摘要认证。 系列文章列表 ASP.NET Web API(一):使用初探,GET和POST数据ASP.NET Web API(二):安全验证之使用HTTP基本认证ASP.NET Web API(三):安...
Digest Auth 摘要认证
dandan201212的博客
05-07 2137
Digest Auth 摘要认证 1.非常规方式 转载:https://blog.csdn.net/qq_25391785/article/details/86595529 public static void postMethod(String url, String query) { try { CredentialsProvider credsProvider = new BasicCredentialsProvider();
浏览器-基本认证(Basic Authentication)-摘要认证(digest authentication)=spring boot实现demo
privateobject的博客
10-09 2423
> 平时开发的 java web 网站登录,都是通过表单提交登录信息。有时一些中间件登录是浏览器弹窗,没有看到表单实现代码。故通过查询,发现两种 HTTP 简单认证: 基本认证( Basic Authentication )、摘要认证( digest authentication )等,本次通过 java实现 spring boot 基本摘要认证。
spring基本认证和摘要认证
weixin_34245749的博客
06-05 937
2019独角兽企业重金招聘Python工程师标准>>> ...
go-http-auth:golang http基本摘要HTTP身份验证
05-04
Go中的HTTP身份验证实现这是Go语言中HTTP BasicHTTP Digest身份验证的实现。 它被设计为http.RequestHandler函数的简单包装。特征支持HTTP基本HTTP摘要身份验证。 支持htpasswd和htdigest格式的文件。 自动重新...
okhttp-digest:okhttp摘要身份验证
05-04
okhttp-digest okhttp摘要身份验证器。 大多数代码是从Apache Http Client移植的。重要的该工件已从jcenter转移到了Maven Central! 坐标已从com.burgstaller:okhttp-digest:<version>到io.github.rburgst:okhttp-...
spring-security-digest:spring-security摘要认证示例
06-21
spring-security-digest 示例 该项目演示了使用 RESTful 服务中的 Java 配置使用 Spring-Security 进行摘要式身份验证的用法 请阅读我在帖子
http-auth:用于HTTP基本摘要访问身份验证的Node.js程序包
02-03
http认证用于HTTP基本摘要访问身份验证的软件包。安装通过git(或下载的tarball): $ git clone git://github.com/http-auth/http-auth.git 通过 : $ npm install http-auth基本例子// HTTP moduleconst http = ...
http身份验证:PSR-15中间件,用于实现基本摘要Http身份验证
02-17
中间件/ http身份验证 实现中间件。 包含以下组件:要求PHP> = 7.2安装该软件包可以通过Composer作为安装和自动加载。 composer require middlewares/http-authentication基本认证是最简单的技术。 您必须为Array或...
10.Spring security中的HTTP认证(实际使用较少)
EdSheeran的博客
03-26 1087
文章目录*HTTP认证(实际使用较少)**10.1HTTP Basic authentication**10.1.1简介* HTTP认证(实际使用较少) HTTP提供了一个用于权限控制和认证的通用方式,这种认证方式通过HTTP请求头来提供认证信息,而不是通过表单登录。最熟知的应该是HTTP Basic authentication,另外还有一种相对更安全的HTTP Digest authentication。 10.1HTTP Basic authentication 10.1.1简介 HTTP Ba
WebApi接口安全认证
weixin_30608503的博客
03-02 340
摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。 一、摘要认证基本流程: 1.客户端请求 (无认证) Html代码 GET/dir/in...
HTTP Digest authentication(摘要认证)和HTTP basic Authorization(普通认证)用户登出注销的方法
kickmeout的专栏
01-25 1039
最近项目中需要对普通认证HTTP basic Authorization和摘要认证HTTP Digest authenticatio登录进行注销。搜索到有几篇文章号称ie,Firefox、chrome都可以可以注销,其实根本不能,真是垃圾。这块资料比较少,坑比较多。这个破事儿翻搭来翻搭去有一阵子,后来彻底解决。 ①前端:注销可以采用的方法如下,如果有效则不再需要后端处理了: 请在前端js注销处理函数中调用clearAuthenticationCache function AuthLogout(pag
Http认证之Digest认证
零度的博客专栏
05-11 4785
和讲Basic篇的内容差不多,不同的是过程采用的是DIGEST认证: Tomcat配置: 1 在tomcat的webapps下新建一个目录authen,再建立子目录subdir,下面放一个index.jsp 2 在authen目录下建立WEB-INF目录,下放web.xml文件,内容如下 Xml代码   security-constraint>    
同一服务器不同域名session共享
MrCharles在CSDN
01-02 8904
Tomcat下,不同的二级域名之间或根域与子域之间,Session默认是不共享的,因为Cookie名称为JSESSIONID的Cookie根域是默认是没设置 的,访问不同的二级域名,其Cookie就重新生成,而session就是根据这个Cookie来生成的,所以在不同的二级域名下生成的Session也 不一样。找到了其原因,就可根据这个原因对Tomcat在生成Session时进行相应的修改(注:本
Spring Security如何登录验证
最新发布
04-03
Spring Security提供了多种登录验证方式,常用的有以下几种: 1. 基于表单的登录验证:用户通过表单提交用户名和密码,Spring Security根据用户提交的信息进行验证。 2. 基于HTTP Basic认证的登录验证:用户在请求的头部加入认证信息,Spring Security根据认证信息进行验证。 3. 基于HTTP Digest认证的登录验证:类似于HTTP Basic认证,但是密码会进行加密。 4. 基于OAuth2的登录验证:用户通过OAuth2协议获取access token,Spring Security根据access token进行验证。 对于基于表单的登录验证,可以通过以下步骤实现: 1. 配置Spring Security:在Spring Security的配置文件中,指定登录页面、处理登录请求的URL、登录成功后的跳转页面等。 2. 创建登录页面:在登录页面中,需要包含用户名和密码的输入框、登录按钮等。 3. 创建登录表单提交处理器:当用户在登录页面中提交表单时,Spring Security将调用登录表单提交处理器进行验证。 4. 创建用户验证实现类:实现UserDetailsService接口,重写loadUserByUsername方法,根据用户名获取用户信息。 5. 配置密码加密:Spring Security提供了多种密码加密方式,可以根据需求选择合适的加密方式。 6. 配置登录成功后的处理器:登录成功后,可以跳转到指定页面或者执行一些逻辑。 7. 配置登录失败后的处理器:登录失败后,可以跳转到指定页面或者执行一些逻辑。 以上步骤完成后,就可以实现基于表单的登录验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MrCharles

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值