basic认证是另一个常用的认证方式,与表单认证不同的是,basic认证常用于无状态客户端的验证,比如HttpInvoker或者Web Service的认证,这种场景的特点是客户端每次访问应用时,都在请求头部携带认证信息,一般就是用户名和密码,因为basic认证会传递明文,所以最好使用https传输数据。
如果在http中配置了auto-config="true"我们就不用再添加任何配置了,默认配置中已经包含了Basic认证功能。但是这同时也会激活form-login,因此我们将演示仅有basic验证的场景,为此需要去掉配置文件中的auto-config="true"。
<http auto-config="true"> <http-basic /> <intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" /> <intercept-url pattern="/" access="ROLE_USER" /> </http>
删除了auto-config="true"之后,还要记得添加http-basic标签,这样我们的系统将仅仅使用basic认证方式来实现用户登录。
现在我们访问系统时,不会再进入之前的登录页面,而是会显示浏览器原生的登录对话框。
登录成功之后,我们可以在HTTP请求头部看到basic验证所需的属性Authorization。
最后需要注意的是,因为basic认证不使用session,所以无法与rememberMe功用。
下面我们来示范一下如何使用basic认证。假设我们在basic.jsp中需要远程调用http://localhost:8080/ch10/admin.jsp的内容。这时为了能够通过Spring Security的权限检测,我们需要在请求的头部加上basic所需的认证信息。
String username = "admin"; String password = "admin"; byte[] token = (username + ":" + password).getBytes("utf-8"); String authorization = "Basic " + new String(Base64.encodeBase64(token), "utf-8"); URL url = new URL("http://localhost:8080/ch10/admin.jsp"); HttpURLConnection conn = (HttpURLConnection) url.openConnection(); conn.setRequestProperty("Authorization", authorization);
我们先将用户名和密码拼接成一个字符串,两者之间使用“:”分隔。 然后使用commons-codec的Base64将这个字符串加密。在进行basic认证的时候Spring Security会使用commons-codec把这段字符串反转成用户名和密码,再进行认证操作。 下一步为加密后得到的字符串添加一个前缀"Basic ",这样Spring Security就可以通过这个判断客户端是否使用了basic认证。 |
|
将上面生成的字符串设置到请求头部,名称为“Authorization”。Spring Security会在认证时,获取头部信息进行判断。 |
有关basic代码可以在/ch10/basic.jsp找到,可以运行ch10,然后访问http://localhost:8080/ch10/basic.jsp。它会使用上述的代码,通过Spring Security的认证,成功访问到admin.jsp的信息。
实例在ch104。