===================================

Basic Authorization 规范

===================================

Request 头部:

Authorization: Basic QWxpY2U6MTIzNDU2

其中 QWxpY2U6MTIzNDU2 是user:pwd做 base64 编码, 格式是 user:pwd

response 头部:

WWW-Authenticate: Basic realm="My Realm"

按照 RFC 规范, 相同的 realm(域) 下的web page 将共享同样的 credentials, 所以推荐 realm 取值为 application name. realm 大小写敏感, 可以包含空格.

===================================

Rest API 示例

===================================

功能:

1. 演示如何启用 Basic Authorization

2. 如何使用 RestTemplate 访问受保护的 API接口

-----------------------------------

SecurityConfig 代码

-----------------------------------

关键点有:

0. 对于 /api/** 需要 ROLE_ADMIN 角色的账号访问, 对于 /guest/** 路径允许匿名访问.

1. 使用 HttpSecurity.httpBasic() 启用 Basic Authorization.

2. 使用 HttpSecurity.httpBasic().realmName() 设置 realm.

3. 使用 HttpSecurity.httpBasic().authenticationEntryPoint() 设置 BasicAuthenticationEntryPoint 对象, 如果一个请求通过验证, 该对象会自动为web response设定 WWW-Authenticate header, 如果未通过, 该对象会自动将HttpStatus设置为UNAUTHORIZED.

4. 显式启用了 STATELESS session 管理机制, 经测试,Spring Security 在Basic Authorization模式下, session自动就处于了 STATELESS 状态.

5. 对于 HttpMethod.OPTIONS 请求, 允许匿名访问. API 项目应该开放 OPTIONS 查询权限.

@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true)public class SecurityConfig extends WebSecurityConfigurerAdapter {    //@formatter:off    @Override    public void configure(AuthenticationManagerBuilder builder) throws Exception {        builder.inMemoryAuthentication()                .withUser("123").password("123").roles("USER")                .and()                .withUser("ADMIN").password("ADMIN").roles("ADMIN");    }    //@formatter:on    private static String REALM = "MY SPRING SECURITY DEMO";    // @formatter:off    @Override    protected void configure(HttpSecurity http) throws Exception {        http           .authorizeRequests()               // 对于/api 路径下的访问需要有 ROLE_ADMIN 的权限              .antMatchers("/api/**").hasRole("ADMIN")               // 对于/guest 路径开放访问              .antMatchers("/guest/**").permitAll()               // 其他url路径之需要登陆即可.              .anyRequest().authenticated()              .and()           //启用 basic authentication          .httpBasic().realmName(REALM).authenticationEntryPoint(getBasicAuthenticationEntryPoint())              .and()           //不创建 session          .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);    }    // @formatter:on    /**     * 生成 BasicAuthenticationEntryPoint 对象, 在该对象的支持下, 通过验证的请求, 返回的response 将会自动加上     * WWW-Authenticate Header.  在该对象的支持下, 未通过验证的请求, 返回的 response 为 UNAUTHORIZED 错误.     *     * @return     */    @Bean    public BasicAuthenticationEntryPoint getBasicAuthenticationEntryPoint() {        BasicAuthenticationEntryPoint entryPoint = new BasicAuthenticationEntryPoint();        entryPoint.setRealmName(REALM);        return entryPoint;    }    /*     * 开放 Options 请求     */    @Override    public void configure(WebSecurity web) throws Exception {        // TODO Auto-generated method stub        web.ignoring()                .antMatchers(HttpMethod.OPTIONS, "/**");    }    @SuppressWarnings("deprecation")    @Bean    public NoOpPasswordEncoder passwordEncoder() {        BasicAuthenticationEntryPoint a;        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();    }}

-----------------------------------

受控 API Rest 类

-----------------------------------

对于 /api/** url需要 ROLE_ADMIN 角色的账号访问, 这里的代码很简单.

/* * 需要进行 Basic Auth 的API */@RestController@RequestMapping("/api")class ApiController {
        @GetMapping("/books")    public String getBooks() {        return "API book";    }}

直接访问受控url, 弹出浏览器内置的登陆框, 见下图, 符合预期. 

 

-----------------------------------

RestTemplate 访问 Basic Authorization的API

-----------------------------------

关键点:

使用了 restTemplateBuilder.basicAuthorization(user,pwd).build() 来构建 RestTemplate, 这样的 RestTemplate 会自动在Request上加 Authorization Header.

 

/* * RestTemplate 访问 Basic Authorization的API的示例 */@RestController@RequestMapping("/guest")class DefaultController {    @GetMapping("/mybooks")    @ResponseBody    public String getMyBook() {        return "My Book";    }    private RestTemplate restTemplate;    @Autowired    private RestTemplateBuilder restTemplateBuilder;    @Autowired    void setRestTemplate(RestTemplateBuilder restTemplateBuilder) {         restTemplate = restTemplateBuilder.basicAuthorization("ADMIN", "ADMIN")         .build();    }    @GetMapping("/apibooks")    @ResponseBody    public String getApiBooks() {        return restTemplate.getForObject("http://localhost:8080/api/books", String.class);    }}

访问 http://localhost:8080/guest/apibooks 地址,  无需登陆即可得到 api 结果, 见下图, 符合预期. 

 

===================================

参考

===================================

http://websystique.com/spring-security/secure-spring-rest-api-using-basic-authentication/

http://www.bytestree.com/spring/restful-web-services-authentication-authorization/

https://www.baeldung.com/spring-security-basic-authentication