1 HTTP Basic认证
HTTP Basic
认证是在HTTP 1.0
就引入的认证方案,存在安全缺陷;但由于实现简单,仍有项目在用。
它主要通过请求头Authorization
来做认证,格式为:
键:Authorization
值:Basic base64(username:password)
,即Basic 加密串
,如Basic dXNlcjp1c2Vy
。
Spring Security
的配置可以为:
@EnableWebFluxSecurity
public class WebfluxSecurityConfig {
@Bean
public MapReactiveUserDetailsService userDetailsService() {
UserDetails user = User.withDefaultPasswordEncoder()
.username("user")
.password("user")
.roles("USER")
.build();
return new MapReactiveUserDetailsService(user);
}
@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http.httpBasic()
.and()
.authorizeExchange()
.anyExchange().hasRole("USER")
.and()
.formLogin()
.and()
.csrf().disable();
return http.build();
}
}
2 如何加密解密
命令如下:
# 加密
$ echo -n 'user:user' | openssl base64
dXNlcjp1c2Vy
# 加密
$ echo -n 'user:user' | base64
dXNlcjp1c2Vy
# 加密
openssl base64 -in <infile> -out <outfile>
# 解密
$ echo -n 'dXNlcjp1c2Vy' | base64 -d
当然也可以通过代码加密/解密。
3 访问
3.1 Postman访问
通过Postman
可以直接输入用户名和密码访问,其实它也是帮你自动加个请求头而已。所以要请求,自己不需要再添加请求头Authorization
了,免得覆盖了。
3.2 命令行访问
通过curl
访问如下:
$ curl http://localhost:8088/user/name -H 'Authorization:Basic dXNlcjp1c2Vy'