首页 > 文章 > java教程

春季启动中的基本身份验证

时间：2025-02-11 15:49:16 390浏览收藏

目前golang学习网上已经有很多关于文章的文章了，自己在初次阅读这些文章中，也见识到了很多学习思路；那么本文《春季启动中的基本身份验证》，也希望能帮助到大家，如果阅读完后真的对你学习文章有帮助，欢迎动动手指，评论留言并分享~

Spring Security简明身份验证指南：基于HTTP Basic的认证

Spring Security负责Spring应用程序的身份验证和授权。本文将演示使用最基本的HTTP Basic身份验证方法来保护Spring Boot API。

首先，创建一个简单的Spring Boot应用程序，仅包含Spring Web和Spring Security依赖。我们将添加一个简单的GET请求：

package com.example.spring_basic;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class DemoController {

    @GetMapping("/hello")
    public String hello(){
       return "Hello World!";
    }
}

运行应用程序后，Spring Security会自动启用默认配置，但此时安全性并未真正生效。我们可以通过工具（如IntelliJ HTTP客户端）发送请求进行测试，你会发现请求可以成功访问 /hello 接口。

春季启动中的基本身份验证

为了增强安全性，我们需要添加自定义的Spring Security配置：

package com.example.spring_basic;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;

import static org.springframework.security.config.Customizer.withDefaults;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.httpBasic(withDefaults());
        http.authorizeHttpRequests(httpSecurity -> {
            httpSecurity.requestMatchers("/users").permitAll();
            httpSecurity.anyRequest().authenticated();
        });
        return http.build();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public InMemoryUserDetailsManager inMemoryUserDetailsManager() {
        UserDetails user = User.builder()
                .username("user")
                .password(passwordEncoder().encode("password"))
                .roles("user")
                .build();

        UserDetails admin = User.builder()
                .username("admin")
                .password(passwordEncoder().encode("password"))
                .roles("user", "admin")
                .build();

        return new InMemoryUserDetailsManager(user, admin);
    }
}

此配置使用httpBasic(withDefaults())启用HTTP Basic身份验证，并定义了两个用户："user"和"admin"，密码均为"password"（已使用BCryptPasswordEncoder加密）。 /users 路径允许匿名访问，其他所有请求都需要身份验证。

现在，我们需要使用用户名和密码进行身份验证才能访问 /hello 接口：

GET http://localhost:8080/hello
Authorization: Basic dXNlcjpwYXNzd29yZA==  // "user:password" 的Base64编码

春季启动中的基本身份验证

工作原理：

当客户端发送请求时，BasicAuthenticationFilter拦截请求，提取Authorization header中的凭据。 AuthenticationManager调用DaoAuthenticationProvider，使用InMemoryUserDetailsManager验证用户名和密码。如果验证成功，则将身份验证信息添加到SecurityContext，允许访问受保护的资源。

项目源码：此处替换为实际源码链接或说明

通过以上步骤，我们成功地使用HTTP Basic身份验证保护了Spring Boot应用程序。记住，在生产环境中，应使用更安全的身份验证方法，例如OAuth 2.0或JWT。

到这里，我们也就讲完了《春季启动中的基本身份验证》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！