===================================
Basic Authorization 规范
===================================
Request 头部:
Authorization: Basic QWxpY2U6MTIzNDU2
其中 QWxpY2U6MTIzNDU2 是user:pwd做 base64 编码, 格式是 user:pwd

response 头部:
WWW-Authenticate: Basic realm="My Realm"

按照 RFC 规范, 相同的 realm(域) 下的web page 将共享同样的 credentials, 所以推荐 realm 取值为 application name. realm 大小写敏感, 可以包含空格.

===================================
Rest API 示例
===================================
功能:
1. 演示如何启用 Basic Authorization
2. 如何使用 RestTemplate 访问受保护的 API接口

-----------------------------------
SecurityConfig 代码
-----------------------------------
关键点有:
0. 对于 /api/** 需要 ROLE_ADMIN 角色的账号访问, 对于 /guest/** 路径允许匿名访问.
1. 使用 HttpSecurity.httpBasic() 启用 Basic Authorization.
2. 使用 HttpSecurity.httpBasic().realmName() 设置 realm.
3. 使用 HttpSecurity.httpBasic().authenticationEntryPoint() 设置 BasicAuthenticationEntryPoint 对象, 如果一个请求通过验证, 该对象会自动为web response设定 WWW-Authenticate header, 如果未通过, 该对象会自动将HttpStatus设置为UNAUTHORIZED.
4. 显式启用了 STATELESS session 管理机制, 经测试,Spring Security 在Basic Authorization模式下, session自动就处于了 STATELESS 状态.
5. 对于 HttpMethod.OPTIONS 请求, 允许匿名访问. API 项目应该开放 OPTIONS 查询权限.

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //@formatter:off

    @Override

    public void configure(AuthenticationManagerBuilder builder) throws Exception {

        builder.inMemoryAuthentication()

                .withUser("123").password("123").roles("USER")

                .and()

                .withUser("ADMIN").password("ADMIN").roles("ADMIN");

    }

    //@formatter:on

    private static String REALM = "MY SPRING SECURITY DEMO";

    // @formatter:off

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

           .authorizeRequests()

               // 对于/api 路径下的访问需要有 ROLE_ADMIN 的权限

              .antMatchers("/api/**").hasRole("ADMIN")

               // 对于/guest 路径开放访问

              .antMatchers("/guest/**").permitAll()

               // 其他url路径之需要登陆即可.

              .anyRequest().authenticated()

              .and()

           //启用 basic authentication

          .httpBasic().realmName(REALM).authenticationEntryPoint(getBasicAuthenticationEntryPoint())

              .and()

           //不创建 session

          .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

    }

    // @formatter:on

    /**

     * 生成 BasicAuthenticationEntryPoint 对象, 在该对象的支持下, 通过验证的请求, 返回的response 将会自动加上

     * WWW-Authenticate Header.  在该对象的支持下, 未通过验证的请求, 返回的 response 为 UNAUTHORIZED 错误.

     *

     * @return

     */

    @Bean

    public BasicAuthenticationEntryPoint getBasicAuthenticationEntryPoint() {

        BasicAuthenticationEntryPoint entryPoint = new BasicAuthenticationEntryPoint();

        entryPoint.setRealmName(REALM);

        return entryPoint;

    }

    /*

     * 开放 Options 请求

     */

    @Override

    public void configure(WebSecurity web) throws Exception {

        // TODO Auto-generated method stub

        web.ignoring()

                .antMatchers(HttpMethod.OPTIONS, "/**");

    }

    @SuppressWarnings("deprecation")

    @Bean

    public NoOpPasswordEncoder passwordEncoder() {

        BasicAuthenticationEntryPoint a;

        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();

    }

}

-----------------------------------
受控 API Rest 类
-----------------------------------
对于 /api/** url需要 ROLE_ADMIN 角色的账号访问, 这里的代码很简单.

/*

 * 需要进行 Basic Auth 的API

 */

@RestController

@RequestMapping("/api")

class ApiController {

    @GetMapping("/books")

    public String getBooks() {

        return "API book";

    }

}

直接访问受控url, 弹出浏览器内置的登陆框, 见下图, 符合预期.

-----------------------------------
RestTemplate 访问 Basic Authorization的API
-----------------------------------
关键点:
使用了 restTemplateBuilder.basicAuthorization(user,pwd).build() 来构建 RestTemplate, 这样的 RestTemplate 会自动在Request上加 Authorization Header.

/*

 * RestTemplate 访问 Basic Authorization的API的示例

 */

@RestController

@RequestMapping("/guest")

class DefaultController {

    @GetMapping("/mybooks")

    @ResponseBody

    public String getMyBook() {

        return "My Book";

    }

    private RestTemplate restTemplate;

    @Autowired

    private RestTemplateBuilder restTemplateBuilder;

    @Autowired

    void setRestTemplate(RestTemplateBuilder restTemplateBuilder) {

         restTemplate = restTemplateBuilder.basicAuthorization("ADMIN", "ADMIN")

         .build();

    }

    @GetMapping("/apibooks")

    @ResponseBody

    public String getApiBooks() {

        return restTemplate.getForObject("http://localhost:8080/api/books", String.class);

    }

}

访问 http://localhost:8080/guest/apibooks 地址,  无需登陆即可得到 api 结果, 见下图, 符合预期.

===================================
参考
===================================
http://websystique.com/spring-security/secure-spring-rest-api-using-basic-authentication/
http://www.bytestree.com/spring/restful-web-services-authentication-authorization/
https://www.baeldung.com/spring-security-basic-authentication

Spring Security 之API 项目安全验证(基于basic-authentication)的更多相关文章

  1. spring security +MySQL + BCryptPasswordEncoder 单向加密验证 + 权限拦截 --- 心得

    1.前言 前面学习了 security的登录与登出 , 但是用户信息 是 application 配置 或内存直接注入进去的 ,不具有实用性,实际上的使用还需要权限管理,有些 访问接口需要某些权限才可 ...

  2. 使用Spring MVC测试Spring Security Oauth2 API

    不是因为看到希望了才去坚持,而坚持了才知道没有希望. 前言 在Spring Security源码分析十一:Spring Security OAuth2整合JWT和Spring Boot 2.0 整合 ...

  3. Spring Security(十五):5.6 Authentication

    Thus far we have only taken a look at the most basic authentication configuration. Let’s take a look ...

  4. Spring Security 入门(3-11)Spring Security 的使用-自定义登录验证和回调地址

    配置文件 security-ns.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmln ...

  5. Spring Security构建Rest服务-0700-SpringSecurity开发基于表单的认证

    自定义用户认证逻辑: 1,处理用户信息获取,2,用户校验,3密码的加密解密 新建:MyUserDetailService类,实现UserDetailsService接口. UserDetailsSer ...

  6. Secure Spring REST API using Basic Authentication

    What is Basic Authentication? Traditional authentication approaches like login pages or session iden ...

  7. 【项目实践】一文带你搞定Spring Security + JWT

    以项目驱动学习,以实践检验真知 前言 关于认证和授权,R之前已经写了两篇文章: [项目实践]在用安全框架前,我想先让你手撸一个登陆认证 [项目实践]一文带你搞定页面权限.按钮权限以及数据权限 在这两篇 ...

  8. JAVA WEB快速入门之从编写一个基于SpringBoot+Mybatis快速创建的REST API项目了解SpringBoot、SpringMVC REST API、Mybatis等相关知识

    JAVA WEB快速入门系列之前的相关文章如下:(文章全部本人[梦在旅途原创],文中内容可能部份图片.代码参照网上资源) 第一篇:JAVA WEB快速入门之环境搭建 第二篇:JAVA WEB快速入门之 ...

  9. spring security 一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架

    Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中 配置的Bean,充分利用了Spring ...

随机推荐

  1. 一、Windows Server 2016 AD服务器搭建

    简介: AD是Active Directory的简写,中文称活动目录.活动目录(Active Directory)主要提供以下功能: 1)服务器及客户端计算机管理 2)用户服务 3)资源管理 4)桌面 ...

  2. 记录日常Linux常用软件

    yum -y install gcc gcc-c++ autoconf pcre pcre-devel make automake yum -y install wget httpd-tools vi ...

  3. css_属性

    老师的博客:https://www.cnblogs.com/liwenzhou/p/7999532.htm css的属性 整体属性的:作用于全局 width:表示宽 height:表示长 color: ...

  4. SQL NULL 值

    NULL 值是遗漏的未知数据. 默认地,表的列可以存放 NULL 值. 本章讲解 IS NULL 和 IS NOT NULL 操作符. SQL NULL 值 如果表中的某个列是可选的,那么我们可以在不 ...

  5. 三种方法实现Hadoop(MapReduce)全局排序(1)

    我们可能会有些需求要求MapReduce的输出全局有序,这里说的有序是指Key全局有序.但是我们知道,MapReduce默认只是保证同一个分区内的Key是有序的,但是不保证全局有序.基于此,本文提供三 ...

  6. 5行代码实现微信小程序图片上传与腾讯免费5G存储空间的使用

    本文介绍了如何在微信小程序开发中使用腾讯官方提供的云开发功能快速实现图片的上传与存储,以及介绍云开发的 5G 存储空间的基本使用方法,这将大大提高微信小程序的开发效率,同时也是微信小程序系列教程的视频 ...

  7. flask(一)之路由和视图

    01-介绍 Flask 是一个 Python 实现的 Web 开发微框架,同时具有很强的扩展能力. 02-第一个flask程序 # 初始化 from flask import Flask, url_f ...

  8. vue入门之编译项目

    好记性不如烂笔头,最近又开始学习vue了,编译的过程中遇到几个小坑,特此一记.     首先说一下vue项目如何编译,其实很简单,cd到项目文件夹,然后执行命令: npm run bulid 不过np ...

  9. OpenStack-Keystone(2)

    一. Keystone 概述 管理用户及其权限 维护OpenStack Services的Endpoint Authentication(认证)和 Authorization(授权) 1.验证用户 验 ...

  10. 控制结构(8): 线性化(linearization)

    // 上一篇:管道(pipeline) // 下一篇:程序计数器(PC) "编程语言不过是一个工具,什么语言都一样","编程语言能改变人的思维,不同的语言会带给你不同的思 ...