10.Spring security中的HTTP认证(实际使用较少)

已于 2022-03-26 16:40:24 修改
阅读量1k 收藏
点赞数
分类专栏: # 深入浅出spring security 文章标签: java spring
于 2022-03-26 15:52:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39748549/article/details/123757407
版权

文章目录

HTTP认证(实际使用较少)

HTTP提供了一个用于权限控制和认证的通用方式,这种认证方式通过HTTP请求头来提供认证信息,而不是通过表单登录。最熟知的应该是HTTP Basic authentication,另外还有一种相对更安全的HTTP Digest authentication。

10.1HTTP Basic authentication
10.1.1简介

HTTP Basic authentication中文译作HTTP基本认证,在这种认证方式中,将用户的登录用户名/密码经过base64编码之后,放在请求头的Authorization字段中,从而完成用户身份的认证。
当客户端发起一个请求之后,服务端可以针对该请求返回一个质询信息,然后客户端再提供用户的凭证信息。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9w9IxCAr-1648281011464)(en-resource://database/636:1)]@w=600

HTTP基本认证流程:
首先客户端(浏览器)发起请求,类似于:

GET /hello HTTP/1.1
Host: localhost:8080

服务端收到请求后,发现用户还没有认证,于是给出如下响应:

HTTP/1.1 401
WWW-Authenticate: Basic realm="Realm"

状态码401表示用户未认证,WWW-Authenticate响应头则定义了使用何种验证方式去完成身份认证。最简单、最常见的就是使用的HTTP基本认证,除了这种认证方式外,还有Bearer(OAuth2.0认证)、Digest(HTTP摘要认证)等取值。
客户端收到服务端的响应之后,将用户名/密码使用base64编码之后,放在请求头中,再次发起请求:

GET /hello HTTP/1.1
Host: localhost:8080
Authorization: Basic amF2YWJveToxMjM=

服务端解析Authorization字段,完成用户身份的校验,最后将资源返回给客户端:

HTTP/1.1 200
Content-Type: text/html;charset=UTF-8
Content-Length: 16

可以看到,这种认证方式实际上非常简单,基本上所有的浏览器都支持这种认证方式。但是在实际应用中,很少见到这种认证方式,主要还是安全问题。
HTTP基本认证没有对传输的凭证信息进行加密,仅仅只是进行了base64编码,这就造成了很大的安全隐患,所以如果用到了HTTP基本认证,一般都是结合HTTPS一起使用;同时,一旦使用HTTP基本认证成功后,除非用户关闭浏览器或者清空浏览器缓存,否则没有办法退出登录。

EdSheeran乀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot2】SpringBoot基础
Lis0bit的博客
04-10 221
SpringBoot的功能是什么还记得吗?加速Spring程序的开发,现在是否深有体会?再来看SpringBoot技术的设计初衷就很容易理解了。​ SpringBoot是由Pivotal团队提供的全新框架,其设计目的是用来简化Spring应用的初始搭建以及开发过程。​ 都简化了了哪些东西呢?Spring程序缺点依赖设置繁琐。
HTTP协议的身份验证和授权机制,以及现代认证技术(OAuth 2.0、JWT、OpenID Connect)
www_tlj的专栏
03-24 709
尽管Digest 认证提供了比Basic 认证更好的安全性,但在现代Web应用,它仍然不足以抵御所有类型的攻击,特别是在不使用HTTPS的情况下。现代应用通常会采用基于令牌的认证机制(如OAuth 2.0和JWT),这些机制在安全性和灵活性方面提供了更多的优势。然而,在特定的场景下,特别是在内部网络或者对性能有严格要求的环境,Digest 认证仍然是一个可行的选择。Bearer认证提供了一种简单有效的方法,用于在客户端和服务器之间安全地传输访问令牌,从而实现对受保护资源的访问控制。
使用HttpClient 访问Spring OAuth 2.0接口 获取token
01-02 6267
使用Sring Security的 Oauth2.0 搭建还是很轻松的 不过一旦遇到问题. 花费的时间可能会比你自己实现 还要浪费时间 前几天遇到的坑是 居然无法使用 ajax 跨域进行获取 /oauth/token 时候 就会发现 OPTIONS请求无论怎样都是401  于是去老外网站 自己写filter 都无法突破实现 我遇到的问题和这个老兄 几乎一致 https://se
springcloudEureka RetryableEurekaHttpClient    : Request execution failure with status code 403; ret
爱笑才不是傻帽的博客
05-13 1485
新版(Spring Cloud 2.0 以上)的security默认启用了csrf检验(Spring Security启用csrf,然后会对URL请求进行token验证,如果请求没有token,浏览器会任务是非法网页的请求,然后就会拒绝。),要在eurekaServer端配置security的csrf检验为false,继承WebSecurityConfigurerAdapter类,重写configure方法 如下图 import org.springframework.security.conf
Spring SecurityHTTP认证
大后生大大大的博客
12-05 536
HTTP Basic
Spring Security访问控制Authorization
daiwuliang的博客
04-28 2971
文章目录Authorization架构用户权限Authorities前置调用处理AccessDecisionManager基于选举机制的AccessDecisionManagerRoleVoterAuthenticatedVoter其它AccessDecisionVoter后置调用处理HTTP请求访问控制 FilterSecurityInterceptor表达式访问控制规则常见的表达式方法Web ...
Spring Security - 03 使用 Basic HTTP 认证方式
qq_29761395的博客
02-04 885
文章目录环境项目结构测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) 项目结构 参考:Spring Security - 02 从 SecurityContextHolder 获取用户信息 新建 WebSecurityConfigure
spring-security-core-5.3.9.RELEASE-API文档-文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
详解spring securityhttpSecurity使用示例
08-27
主要介绍了详解spring securityhttpSecurity使用示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring-cloud-eurekasecurity使用
cts529269539的专栏
10-13 614
一、eureka-server pom.xml增加包导入 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-eureka-server</artifactId> </dependency> <de
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
最新发布
2301_80653026的博客
05-29 1189
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
java学习和项目总结
2301_79390585的博客
05-24 881
JRE:JRE是Java 运行时环境,主要包括了两个运行需要的组件:JVM 和 Java 核心类库,如果不进行java开发只想运行就可以只下载JRE。而Java语言,它的代码会先通过javac编译成字节码,再通过jvm将字节码转换成机器码(0和1)执行,即解释运行和编译运行配合使用,所以是混合型。在程序运行之前,通过编译器将源程序编译成机器码可运行的二进制,以后执行这个程序时,就不用再进行编译了。JVM:JVM是java进行编译的虚拟机,是Java 能够跨平台运行的核心。特点:执行速度慢、效率低;
【STM32学习】HAL库点灯学习
2301_78895982的博客
05-26 762
STM32基于HAL库流水灯实验_hel库安装教程文版-CSDN博客t=N7T8。
Java高级面试精粹:问题与解答集锦(一)
Layla_c的博客
05-23 1579
答案多态是Java的一个核心概念,它允许不同类的对象对同一消息做出响应,但具体的行为会根据对象的实际类型而有所不同。重载(Overloading):当多个方法具有相同的名称,但参数列表不同时,这称为方法重载。编译器根据方法调用时传递的参数类型和数量来确定调用哪个方法。重写(Overriding):当子类有一个与父类同名、同参数列表的方法时,子类可以提供特定的实现来覆盖父类的方法。运行时,Java虚拟机(JVM)会根据对象的实际类型调用相应的方法,这个过程称为动态绑定或晚期绑定。答案。
数据访问与Spring Data JPA
无远弗届
05-25 602
假设我们要处理一个用户表(users),可以创建一个User@Entity // 标识这是一个实体类 public class User {@Id // 标识这是主键字段 @GeneratedValue(strategy = GenerationType . AUTO) // 主键生成策略 private Long id;// Getter 和 Setter ... }@Entity // 标识这是一个实体类 public class User {
1.Spring Security的功能?Spring SecurityAuthorization和Authentication的区别?
06-02
它可以在Web应用程序和服务使用,以确保数据和系统受到保护。 Authentication和Authorization是Spring Security的两个核心概念。Authentication是指验证用户的身份信息,例如用户名和密码。一旦用户通过身份验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值