超级会员免费看
本文详细介绍了Spring Security如何实现HTTP基本认证。当用户访问未经授权的资源时,Spring Security的AuthorizationFilter会触发BasicAuthenticationEntryPoint,发送WWW-Authenticate标头。客户端收到后,重新提交用户名和密码,BasicAuthenticationFilter创建UsernamePasswordAuthenticationToken并传递给AuthenticationManager进行认证。成功后,认证信息存入SecurityContextHolder,继续请求处理;失败则清除上下文并重新发起认证。
基本认证
这部分提供了关于Spring Security如何为基于Servlet的应用程序提供基本HTTP认证支持的详细信息。
这部分描述了Spring Security中HTTP基本认证的工作原理。首先,我们看到WWW-Authenticate标头被发送回未经身份验证的客户端:
-
首先,用户对未经授权的资源 /private 发出未经身份验证的请求。
-
Spring Security 的 AuthorizationFilter 表明未经身份验证的请求被拒绝,通过抛出 AccessDeniedException 异常。
-
由于用户未经身份验证,ExceptionTranslationFilter 启动身份验证。配置的 AuthenticationEntryPoint 是 BasicAuthenticationEntryPoint 的实例,它发送一个 WWW-Authenticate 标头。RequestCache 通常是一个不保存请求的 NullRequestCache,因为客户端有能力重放其最初的请求。
当客户端收到WWW-Authenticate标头时,它知道应该使用用户名和密码进行重试。以下图片显示了用户名和密码处理的流程。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
