Spring Security系列教程06--实现HTTP摘要认证

前言

在前面的2个章节中，一一哥 带大家认识了Spring Security中的第基本认证与表单认证 2种认证方式，其中表单认证是Spring Security默认的认证方式，也是开发时最常用的认证方式。有的小伙伴会问，不是还有第3种认证方式吗？对的，还有第三种摘要认证方式！在本文中，我们来学习了解一下HTTP摘要认证。

但是对于摘要认证，我们仅做了解即可，因为这种认证方式仅比基本认证稍微安全一点，开发时用的也不是很多。抱着艺多不压身的心态，我们多了解一点反正也没坏处。

一. HTTP摘要认证

1. 认证方式

小伙伴们，大家先跟我回顾一下Spring Security中的认证方式，有如下3种:

• ①. HTTP基本认证；
• ②. Form表单认证；
• ③. HTTP摘要认证；

2. HTTP摘要认证

那么这个摘要认证是怎么回事呢？我们先来看看它的概念。

HTTP摘要认证和HTTP基本认证一样，也是在RFC2616中定义的一种认证方式，它的出现是为了弥补HTTP基本认证存在的安全隐患，但该认证方式也并不是很安全。HTTP摘要认证会使用对通信双方来说都可知的口令进行校验，且最终以密文的形式来传输数据，所以相对于基本认证来说，稍微安全了一些。

原来这就是摘要认证啊，懂了?要是还没懂，我们继续往下看摘要认证的认证模型吧。

3. HTTP摘要认证模型

HTTP摘要认证与基本认证类似，基于简单的“挑战-回应”模型。当我们发起一个未经认证的请求时，服务器会返回一个401回应，并给客户端返回与验证相关的参数，期待客户端依据这些参数继续做出回应，从而完成整个验证过程。

这时候你可能会问，服务端会给客户端返回哪些与验证相关的参数呢？挺多的，你往下看！

4. HTTP摘要认证核心参数

服务端给客户端返回的验证相关参数如下：

• username: 用户名。
• password: 用户密码。
• realm: 认证域，由服务器返回。
• opaque: 透传字符串，客户端应原样返回。
• method: 请求的方法。
• nonce: 由服务器生成的随机字符串，包含过期时间(默认过期时间300s)和密钥。
• nc: 即nonce-count,指请求的次数，用于计数，防止重放攻击。qop被指定时，nc也必须被指定。
• cnonce: 客户端发给服务器的随机字符串，qop被指定时，cnonce也必须被指定。
• qop: 保护级别，客户端根据此参数指定摘要算法。若取值为 auth,则只进行身份验证；若取值为auth-int，则还需要校验内容完整性，默认的qop为auth。
• uri: 请求的uri。
• response: 客户端根据算法算出的摘要值，这个算法取决于qop。
• algorithm: 摘要算法，目前仅支持MD5。
• entity-body: 页面实体，非消息实体，仅在auth-int中支持。

通常服务器端返回的数据包括realm、opaque、nonce、qop等字段，如果客户端需要做出验证回应，就必须按照一定的算法得到一些新的数据并一起返回。在以上各种参数中，对服务器而言，最重要的字段是nonce；对客户端而言，最重要的字段是response。

参数好多啊，这谁能记得住啊！说实话，我也记不住，其实对这些参数记几个重要的即可，其余的以后开发时，如果真的用得到，打开 一一哥 的这篇博文，查查是啥意思就好。

二. 摘要认证代码实现

纸上得来终觉浅，绝知此事要躬行！摘要认证的理论知识，我们就了解这么多，还是带大家来实操一把，把代码给搞出来。

注意：

我实现这个摘要认证时，结合了数据库查询，这属于后面章节的内容，算是超纲了，如果小伙伴看不懂，到时候请结合后面关于数据库查询的章节一起看！

1. 编写测试接口

我们还是在上个案例的基础上，对项目加以改造，编写Web测试接口，具体创建过程参考上文:

《Spring Security系列教程03--创建SpringSecurity项目》

@RestControllerpublicclassIndexController {
@GetMapping("/admin/hello")
publicStringhelloAdmin() {
return"hello, admin";
    }
@GetMapping("/user/hello")
publicStringhelloUser() {
return"hello, user";
    }
@GetMapping("/visitor/hello")
publicStringhelloVisitor() {
return"hello, visitor";
    }
}

2. 创建SecurityConfig配置类

当然，对于Spring Security来说，比较关键的就是要有一个SecurityConfig配置类，这里比较重要的是配置摘要认证入口端点DigestAuthenticationEntryPoint。

@EnableWebSecurity(debug=true)
publicclassSecurityConfigextendsWebSecurityConfigurerAdapter {
@AutowiredprivateDigestAuthenticationEntryPointdigestAuthenticationEntryPoint;
@AutowiredprivateMyUserDetailsServiceuserDetailsService;
//配置认证入口端点，主要是设置认证参数信息@BeanpublicDigestAuthenticationEntryPointdigestAuthenticationEntryPoint(){
DigestAuthenticationEntryPointpoint=newDigestAuthenticationEntryPoint();
point.setKey("Security Demos");
point.setRealmName("yyg");
point.setNonceValiditySeconds(500);
returnpoint;
    }
publicDigestAuthenticationFilterdigestAuthenticationFilter(){
DigestAuthenticationFilterfilter=newDigestAuthenticationFilter();
filter.setAuthenticationEntryPoint(digestAuthenticationEntryPoint);
filter.setUserDetailsService(userDetailsService);
returnfilter;
    }
@Overrideprotectedvoidconfigure(HttpSecurityhttp) throwsException {
http.authorizeRequests()
                .antMatchers("/admin/**")
                .hasRole("ADMIN")
                .antMatchers("/user/**")
                .hasRole("USER")
                .antMatchers("/visitor/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .csrf()
                .disable()
//当未认证时访问某些资源,则由该认证入口类来处理.                .exceptionHandling()
                .authenticationEntryPoint(digestAuthenticationEntryPoint)
                .and()
//添加自定义过滤器到过滤器链中                .addFilter(digestAuthenticationFilter());
    }
}

3. 代码结构

本案例的项目包结构如下，供各位参考。

4. 测试接口

接着来访问一下需要认证的接口，比如/admin/hello接口，这时候会发现浏览器弹出了一个用户名密码的认证窗口。然后我们在浏览器中可以看到HTTP摘要认证信息，realm是我们自定义的“yyg”，qop是默认的“auth”方式。

由此可见，此时摘要认证的方式已经生效。

5. HTTP摘要认证弊端

HTTP摘要认证与HTTP基本认证一样，都是基于HTTP层面的认证方式，也不能使用Session对象，因而也不支持Remember-Me功能。该方式虽然解决了HTTP基本认证中以明文传输密码的问题，但并未解决密码明文存储的问题，所以依然有安全隐患，所以在开发中，摘要认证的方式也不怎么使用。

这就是所谓的摘要认证方式，我就给大家介绍这么多，各位对其仅做了解即可。在3种认证方式里，我们应该重点掌握表单认证的实现。