basic认证

第 14 章 basic认证

basic 认证是另一个常用的认证方式，与表单认证不同的是，basic认证常用于无状态客户端的验证，比如HttpInvoker或者Web Service的认证，这种场景的特点是客户端每次访问应用时，都在请求头部携带认证信息，一般就是用户名和密码，因为basic认证会传递明文，所以最 好使用https传输数据。

14.1. 配置basic验 证

如果在http中配置了auto-config="true"我们就不用再添加任何配置了，默认 配置中已经包含了Basic认证功能。但是这同时也会激活form-login，因此我们将演示仅有basic验证的场景，为此需要去掉配置文件中的 auto-config="true"。

<http auto-config="true"
>
    <http-basic />

    <intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
    <intercept-url pattern="/" access="ROLE_USER" />
</http>
        

删除了auto-config="true"之后，还要记得添加http-basic标签，这样我们的系统将仅仅使用 basic认证方式来实现用户登录。

现在我们访问系统时，不会再进入之前的登录页面，而是会显示浏览器原生的登录对话框。

图 14.1. basic登录

登录成功之后，我们可以在HTTP请求头部看到basic验证所需的属性 Authorization。

图 14.2. HTTP请求头

最后需要注意的是，因为basic认证不使用session，所以无法与rememberMe功用。

14.2. 编程实现basic 客户端

下面我们来示范一下如何使用basic认证。假设我们在basic.jsp中需要远程调用 http://localhost:8080/ch104/admin.jsp的内容。这时为了能够通过Spring Security的权限检测，我们需要在请求的头部加上basic所需的认证信息。

String username = "admin";
String password = "admin";
byte[] token = (username + ":" + password).getBytes("utf-8");
String authorization = "Basic " + new String(Base64.encodeBase64(token), "utf-8");



URL url = new URL("http://localhost:8080/ch104/admin.jsp");
HttpURLConnection conn = (HttpURLConnection) url.openConnection();
conn.setRequestProperty("Authorization", authorization);

	我们先将用 户名和密码拼接成一个字符串，两者之间使用“:”分隔。 然后使用commons-codec的Base64将这个字符串加密。在进行 basic认证的时候Spring Security会使用commons-codec把这段字符串反转成用户名和密码，再进行认证操作。 下 一步为加密后得到的字符串添加一个前缀"Basic "，这样Spring Security就可以通过这个判断客户端是否使用了basic认证。
	将上面生成 的字符串设置到请求头部，名称为“Authorization”。Spring Security会在认证时，获取头部信息进行判断。

有 关basic代码可以在/ch104/basic.jsp找到，可以运行ch104，然后访问http://localhost:8080/ch104 /basic.jsp。它会使用上述的代码，通过Spring Security的认证，成功访问到admin.jsp的信息。

实 例在ch104。

评论

1 楼 youzi_friend 2011-08-22  

PHP也遇到同样的问题