HttpBasic 认证模式活该被放弃

大家好，我是不才陈某~

这是《Spring Security 进阶》的第13篇文章，往期文章如下：

• 实战！Spring Boot Security+JWT前后端分离架构登录认证！
• 妹子始终没搞懂OAuth2.0，今天整合Spring Cloud Security 一次说明白！
• OAuth2.0实战！使用JWT令牌认证！
• OAuth2.0实战！玩转认证、资源服务异常自定义这些骚操作！
• 实战干货！Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权！
• 实战！退出登录时如何借助外力使JWT令牌失效？
• 实战！Spring Cloud Gateway集成 RBAC 权限模型实现动态权限控制！
• 实战！openFeign如何实现全链路JWT令牌信息不丢失？
• 3 个注解，优雅的实现微服务鉴权
• 微服务中使用阿里开源的TTL，优雅的实现身份信息的线程间复用
• 一个接口优雅的实现 Spring Cloud OAuth2 自定义token返回格式
• 几行代码搞定 Spring Cloud OAuth2 授权码模式3个页面定制

今天来聊一聊spring security中的一种经典认证模式HttpBasic，在5.x版本之前作为Spring Security默认认证模式，但是在5.x版本中被放弃了，默认的是form login认证模式

HttpBasic模式的应用场景

HttpBasic登录验证模式是Spring Security实现登录验证最简单的一种方式，也可以说是最简陋的一种方式。

为什么是最简陋的？这种模式用来糊弄普通用户可以，但是稍微懂点技术的用户分分钟就可以将其破解，因为底层并未做任何的安全的设置，仅仅是将用户名:密码做了简单的base64加密传递给服务端，base64又是一种可逆的算法。

因此 HttpBasic 的应用场景非常少，对于不重要的数据，用户比较少但是又想设置一重障碍的时候就可以考虑使用这种

整合Spring Security 搞一把

虽然这种认证模式不太重要，但是还是要了解，对于后面的学习至关重要，下面搭建一个项目演示一下

1. 添加maven依赖

直接添加Spring Security的依赖，如下：

2. Spring Security 添加配置

由于陈某使用的是Spring Boot 2.x版本，此时的Spring Security 是5.x版本，默认的认证方式是form表单认证，因此需要配置一下HttpBasic认证模式，代码如下：

启动项目，在项目后台有这样的一串日志打印，冒号后面的就是默认密码。

我们可以通过浏览器进行登录验证，默认的用户名是user.（下面的登录框不是我们开发的，是HttpBasic模式自带的）

当然我们也可以通过application.yml指定配置用户名密码，配置如下：

HttpBasic的原理

整个流程如下图：

1. 首先，HttpBasic模式要求传输的用户名密码使用Base64模式进行加密。如果用户名是 admin ，密码是admin，则将字符串admin:admin使用Base64编码算法加密。加密结果可能是：YWtaW46YWRtaW4=。
2. 然后，在Http请求中使用Authorization作为一个Header，Basic YWtaW46YWRtaW4=作为Header的值，发送给服务端。（注意这里使用Basic+空格+加密串）
3. 服务器在收到这样的请求时，到达BasicAuthenticationFilter过滤器，将提取“ Authorization”的Header值，并使用用于验证用户身份的相同算法Base64进行解码。
4. 解码结果与登录验证的用户名密码匹配，匹配成功则可以继续过滤器后续的访问。

所以，HttpBasic模式真的是非常简单又简陋的验证模式，Base64的加密算法是可逆的，你知道上面的原理，分分钟就破解掉。我们完全可以使用PostMan工具，发送Http请求进行登录验证。

整个流程都在BasicAuthenticationFilter#doFilterInternal()这个方法中，有兴趣的可以去看看。

陈某的《Spring Cloud Alibaba实战项目》 视频教程已经录完了，涉及到Alibaba的各种中间件、OAuth2微服务认证鉴权、全链路灰度发布、分布式事务实战，戳这里--->Spring Cloud Alibaba 实战 视频专栏 开放订阅~

另外，如果你最近想跳槽的话可以点击这里领取！BAT大厂面试真题

靓仔都在点赞、分享、在看三连