Spring Security 的 HttpBasic模式 活該被放棄

碼猿技術專欄發表於2022-07-06

今天來聊一聊spring security中的一種經典認證模式HttpBasic,在5.x版本之前作為Spring Security預設認證模式,但是在5.x版本中被放棄了,預設的是form login認證模式

HttpBasic模式的應用場景

HttpBasic登入驗證模式是Spring Security實現登入驗證最簡單的一種方式,也可以說是最簡陋的一種方式。

為什麼是最簡陋的?這種模式用來糊弄普通使用者可以,但是稍微懂點技術的使用者分分鐘就可以將其破解,因為底層並未做任何的安全的設定,僅僅是將使用者名稱:密碼做了簡單的base64加密傳遞給服務端,base64又是一種可逆的演算法。

因此 HttpBasic 的應用場景非常少,對於不重要的資料,使用者比較少但是又想設定一重障礙的時候就可以考慮使用這種

整合Spring Security 搞一把

雖然這種認證模式不太重要,但是還是要了解,對於後面的學習至關重要,下面搭建一個專案演示一下

1. 新增maven依賴

直接新增Spring Security的依賴,如下:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

關注公眾號:碼猿技術專欄,回覆關鍵詞:9527 獲取阿里內部的Spring Cloud Alibaba視訊

2. Spring Security 新增配置

由於陳某使用的是Spring Boot 2.x版本,此時的Spring Security 是5.x版本,預設的認證方式是form表單認證,因此需要配置一下HttpBasic認證模式,程式碼如下:

/**
 * @author 公眾號:碼猿技術專欄
 * @url: www.java-family.cn
 * @description Spring Security的配置類
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.httpBasic()//開啟httpbasic認證
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();//所有請求都需要登入認證才能訪問
    }
}

啟動專案,在專案後臺有這樣的一串日誌列印,冒號後面的就是預設密碼。

Using generated security password: 00af0f93-7103-4c8a-87a4-23a050a4285c

我們可以通過瀏覽器進行登入驗證,預設的使用者名稱是user.(下面的登入框不是我們開發的,是HttpBasic模式自帶的)

當然我們也可以通過application.yml指定配置使用者名稱密碼,配置如下:

spring:
    security:
      user:
        name: admin
        password: admin

HttpBasic的原理

整個流程如下圖:

  1. 首先,HttpBasic模式要求傳輸的使用者名稱密碼使用Base64模式進行加密。如果使用者名稱是 admin ,密碼是admin,則將字串admin:admin使用Base64編碼演算法加密。加密結果可能是:YWtaW46YWRtaW4=。
  2. 然後,在Http請求中使用Authorization作為一個Header,Basic YWtaW46YWRtaW4=作為Header的值,傳送給服務端。(注意這裡使用Basic+空格+加密串)
  3. 伺服器在收到這樣的請求時,到達BasicAuthenticationFilter過濾器,將提取“ Authorization”的Header值,並使用用於驗證使用者身份的相同演算法Base64進行解碼。
  4. 解碼結果與登入驗證的使用者名稱密碼匹配,匹配成功則可以繼續過濾器後續的訪問。

所以,HttpBasic模式真的是非常簡單又簡陋的驗證模式,Base64的加密演算法是可逆的,你知道上面的原理,分分鐘就破解掉。我們完全可以使用PostMan工具,傳送Http請求進行登入驗證。

整個流程都在BasicAuthenticationFilter#doFilterInternal()這個方法中,有興趣的可以去看看。

本文由mdnice多平臺釋出

相關文章