关于 Authorization: Basic 灵异事件

最新推荐文章于 2022-02-23 17:36:46 发布
最新推荐文章于 2022-02-23 17:36:46 发布
阅读量1k 收藏
点赞数
分类专栏: spring cloud java Authorization spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaolaoban212/article/details/82997867
版权

这几天在研究 spring Security oauth 等相关的框架
参照例子进行配置,代码不描述,总之产生了下面的地址 

有2个地址,分别使用以下方式登录:
1: /app/oauth/token  -> basic
2: /app/hi           -> form


总共两种认证方式,分别是 basic,form
两种认证分开认证不同的账号体系,也不会公用(basic认证之后还是会form,反之一样)
实现效果没问题,都符合预期,如果只是到这一步结束的话。

----------------------------------------

这个时候我手贱加了一个新地址(与2使用同一个认证):

3: /app/oauth/hi     -> form

出现问题:
    当按照 1,2,3 的顺序去访问时,3将会被重新导航到登录页面,也就是说2的认证session丢失了
    但按照 1,3(2),2 的顺序时,却不会导航到登录页面

丢失原因:
    这个问题困扰我很久,花了很长时间各种去调试,检查了配置等等。 
    2,3 确实是使用的同一个认证链。没有问题
    最终发现,因为 3 的地址请求header中带了: Authorization: Basic。
    而我security采用的是默认配置,会进入到 BasicAuthenticationFilter ,导致认证失败,清空了session

到这一步也算差不多找到了问题原因,在使用form的认证链配置中关掉basic即可
    
-----------------------------------------

一个新问题:
    为什么 2,3 同一个系统的地址,一个会带上 Authorization: Basic,一个又不会?

最后:
    最终的问题原因,重现都已经通过例子进行了验证
    通常对于cookie浏览器都是使用ip,域名来进行存储分离,比如session
    比如: 我如果在  localhost 下存储了一个 sessionId=1的数据,在下面的地址都可以拿到
        1: localhost/app/oauth/token  
        2: localhost/app/hi           
        3: localhost/app/oauth/hi     
    而下面的地址拿不到,这就是所谓的跨域问题了。
        1: 127.0.0.1/app/oauth/token  
        2: 127.0.0.1/app/hi           
        3: 127.0.0.1/app/oauth/hi  
    
    但是 Authorization: Basic 好像跟这个不一样,它有一个"上下文"的概念,也就是context-path。但又有一些差别
    比如:下面几个地址,一般认为的上下文
        1. localhost/app/oauth/token   -> app
        2. localhost/app/oauth/b/token   -> app
        3. localhost/app/hi            -> app
        4. localhost/app/b/hi            -> app
        5. localhost/app2/oauth/token  -> app2
        6. localhost/app2/oauth/b/hi     -> app2
    但是 Authorization: Basic 却认为:
        1. localhost/app/oauth/token   -> app/oauth
        2. localhost/app/oauth/b/token   -> app/oauth/b
        3. localhost/app/hi            -> app
        4. localhost/app/b/hi            -> app/b
        5. localhost/app2/oauth/token  -> app2/oauth
        6. localhost/app2/oauth/b/hi     -> app2/oauth/b
    你的请求路径必须要是认证路径的子路径
    比如: 
        通过 1 进行了认证,请求 2,3 都会带上认证信息,但请求 4 就不会
        
    最后,虽然苦逼的弄清楚了这个问题,但相关文档却找不到
    
    这个问题分享出来,希望能给跟我一样被这个问题困扰的同学一些帮助

xiaolaoban212
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsonapi-authorization:JSONAPI的授权
05-22
JSONAPI ::授权 注意:此自述文件是JSONAPI::Authorization的文档。 如果您正在上的查看此内容,那么您正在查看master分支的文档。 其中可能包含与您使用的发行版无关的信息。 请参阅所用的自述文件。 JSONAPI::Authorization使用将JSONAPI::Authorization添加到 (JR)gem。 JSONAPI::Authorization的核心设计原则是: 最好是过于严格,而不是因偶然而宽容。 接下来是我们想要拥有: 黑名单上的白名单-授权方法 退回更严格的授权 注意事项 还要确保在您的应用程序中测试授权。 不过,我们应该涵盖所有操作。 如果不是这种情况,请。 如果您使用的是自定义处理器,请确保它们扩展了JSONAPI::Authorization::AuthorizingProcessor ,否则将不会对该资源执行授权。
Http协议的身份认证
swadian2008的博客
02-13 1190
目录 一、Basic基础认证 二、Digest摘要认证 三、SSL Client认证 四、HTTP 表单认证 HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头中添加如何进行...
基本认证(Basic Authorization
weixin_38169562的博客
08-29 662
----------------------------------import arcpy from base64 import encodestring username = 'xxx' password = 'xxx' authorizationStr = encodestring('%s:%s' % (username, password))[:-1] print('Basi...
java请求basic authorization认证接口
weixin_43872895的博客
01-17 2562
业务需要请求接口,需要进行basic authorization认证,根据提供的用户名密码,使用postman调用,postman会自动将用户名密码按照base64加密,代码中直接使用加密后字符串即可,无需在代码中针对用户名密码进行加密 点击send,得到加密后字符串 {"Authorization":"Basic dGVzdDp0ZXN0"} 代码中定义或将值写在配置文件,缺点在于用户名密码频繁更换,进而需要时常改动; 代码中直接将生成的字符串放置header中 ht...
HTTP使用BASIC认证的原理及实现方法
cjw201231010314的博客
10-19 1402
一. BASIC认证概述 在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服...
Authorization Basic认证 笔记
02-23 3762
Basic认证 Basic认证过程简单介绍 浏览器请求一个需要认证的网页。 服务器向浏览器返回“401 Unauthorized(未认证)”状态码。 浏览器收到此状态码后,询问用户名和密码。 浏览器发送附带认证信息(Authorization头信息)的请求。 本次请求得到了文档(用户名密码均正确的情况下)。 方案1: header 添加 Authorization 原理说明: string code = ‘fozzie:fozzie’ string base = base64(code) // bas
apache 引起的 Authorization 在header中没有传递的问题
金海博客
05-25 2103
用Yii2在做一个项目时,使用了 HttpBearerAuth 验证方式,即在 header 中携带Authorization 信息. Authorization:Bearer xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 但是在php中却没有获取到header中的Authorization. 找度娘问了问,说是apache的问题,在项目web目录下.htacc...
apache php5 用户认证,秒懂系列|Apache用户认证配置之Basic认证
weixin_36254564的博客
04-03 333
很多时候我们可能需要对服务器资源进行保护,通常的做法是在应用层通过鉴权来实现,如果你嫌自己去实现鉴权太麻烦,那就直接让Apache去帮你实现吧!Apache常见的用户认证可以分为下面三种:– 基于IP,子网的访问控制(ACL)– 基本用户验证(Basic Authentication)– 消息摘要式身份验证(Digest Authentication)基于IP的访问控制可以通过配置 Allo...
apache 获取不到 authorization 解决办法
yang_yun_hao的博客
04-14 745
修改apache httpd.conf <IfModule dir_module>下 增加 SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0 如图
配置apache服务器的用户认证
热门推荐
tenfyguo的技术专栏
01-27 2万+
<br />      经常上网的读者会遇到这种情况:访问一些网站的某些资源时,浏览器弹出一个对话框,要求输入用户名和密码来获取对资源的访问。这就是用户认证的一种技术。用户认证是保护网络系统资源的第一道防线,它控制着所有登录并检查访问用户的合法性,其目标是仅 让合法用户以合法的权限访问网络系统的资源。基本的用户认证技术是“用户名+密码”。<br /> <br />   Apache是目前流行的Web服务器,可运行在Linux、Unix、Windows等操作系统下,它可以很好地解决“用户名+密码”的认证问题。
basic-authorization-header.js:用户名和密码中的RFC2617基本授权标头
05-13
//=> { Authorization: 'Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==' } 原料药 basic(user, pass) 论点 user: (String)用户名。 pass: (String)密码。 退货 (String)基本授权标头值。 参考 RFC2617 安全注意事项 增强...
Angular-Authorization:角度授权
03-22
Angular授权 该项目是使用版本8.3.19生成的。 开发服务器 为开发服务器运行ng serve 。...如果您更改任何源文件,该应用程序将自动重新加载。 代码脚手架 运行ng generate component component-name生成一个新的组件。...
Authorization:XV6 OS 项目授权
06-12
授权 XV6 OS 项目授权 团队成员: Curtis 'The Kosher' Koster :) John 'Wiglz' Daniel Wrecker Benjamin 'String Bean' Matthews 日志:4/6/15 19:41 - CK:方法存根和 fs.h 向 Inode 结构添加了权限位/UID 4/6/15...
springboot-oauth2:Spring Boot Oauth2.0
05-17
springboot-oauth2 ...Authorization : Basic dGVzdDoxMjM0NTY= form-data: grant_type : password username : test-user2 password : 123452 响应: { "access_token": "7f787f49-c78f-4d6c-9292-e6992b292ec0",
spring cloud gateway 踩的一些坑及解决办法
07-26 1万+
1. ribbon 快速失败,断路功能无法应用 这个问题无解: 网关LoadBalancerClientFilter只是使用ribbon的负载均衡策略 没有将后续的错误计数应用上,导致不会将错误(超时,异常)的服务进行移除 https://github.com/spring-cloud/spring-cloud-gateway/issues/568 2. lb 请求...
feign 接口不能多重继承问题 Only single-level inheritance supported
10-10 7593
feign.Contract.BaseContract.parseAndValidatateMetadata 抛出的异常, 代码如下: if (targetType.getInterfaces().length == 1) { Util.checkState(targetType.getInterfaces()[0].getInterfaces().length == 0, "Only si...
记一次bcrypt加密引起的性能调优过程
04-03 3759
背景 spring cloud gateway spring security oauth2 所有接口请求通过网关,网关进行权限验证、token 验证 问题 实际过程中发现,通过网关的接口响应耗时大大增加 因为测试接口没有任何的业务存在,所以验证起来也比较简单 验证的结果: 不通过网关的耗时:11ms ...
让spring gateway 支持contextPath
07-09 3023
让spring gateway 支持contextPath 1. 需求 公司环境中把服务部署到了k8s中,通过对服务进行健康检测自动自动重启故障服务; 所有服务都采用了 actuator/health 因为spring gateway是采用webflux,无法通过server.servlet.contextPath来配置(业务服务都统一进行了配置) 业务服务的访问路径: http://ip:8080/user/actuator/health 网关...
为spring gateway网关增加快速失败、重试功能
09-09 2834
重试功能 gateway 本身是支持重试的(retry ), 只有简单请求会被重试(get) 只会对连接超时进行重试,响应超时不会进行重试 比如: 前一种可能是网络不通 后一种是连接已经建立,接口已经调用到,但是业务方法执行太长,导致超时(504) 2. 快速失败 gateway 默认采用 webflux ,响应式模型 对于客户端...
Authorization:Basic
最新发布
07-28
Authorization: Basic是HTTP协议中的一种认证方式,用于在请求头中传递用户名和密码进行身份验证。\[1\]当浏览器请求一个需要认证的网页时,服务器会返回状态码"401 Unauthorized",表示未认证。浏览器收到该状态码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值