Ohhnews

分类导航

$ cd ..
Baeldung原文

从HttpServletRequest中获取HTTP基本认证

#http basic authentication#凭证提取#spring#httpservletrequest#base64

1. 引言

基本认证是HTTP服务最常用的安全机制。其流行源于简单性和易于实现。在本教程中,我们将探讨HTTP基本认证的工作原理,以及如何在基于Spring的应用中从传入的HTTP请求中提取凭据(特别是密码)。

2. HTTP 基本认证

HTTP基本认证是一种简单的认证方案,客户端在HTTP请求头中发送凭据。客户端在请求中包含凭据,放在Authorization头中,然后服务器对其进行验证。头的格式如下:

$ plaintext
Authorization: Basic <base64(username:password)>

用户名和密码组合成一个以冒号分隔的字符串。然后使用Base64对该字符串进行编码。例如,如果用户名是admin,密码是secret,则组合字符串为admin:secret。该字符串的Base64编码版本是YWRtaW46c2VjcmV0。最终的HTTP头如下所示:

$ plaintext
Authorization: Basic YWRtaW46c2VjcmV0

需要注意的是,Base64是编码,不是加密。它很容易被逆转,因此使用基本认证时必须严格使用HTTPS。

3. Maven 依赖

首先,将spring-boot-starter-web依赖添加到我们的pom.xml中:

$ xml
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <version>3.3.2</version>
</dependency>

4. 从 Authorization 头中检索凭据

在本节中,我们将逐步描述如何从传入的HTTP请求中检索原始用户名和密码。

4.1. 手动从 HTTP 请求中提取

最直接的方法是从HttpServletRequest中直接读取Authorization头并解码。我们来创建一个BasicAuthExtractor类和一个实用方法来执行此操作:

$ java
public class BasicAuthExtractor {
    public static String[] extractCredentials(String authHeader) {
        if (authHeader != null && authHeader.startsWith("Basic ")) {
            String base64Credentials = authHeader.substring("Basic ".length()).trim();
            byte[] credDecoded = Base64.getDecoder().decode(base64Credentials);
            String credentials = new String(credDecoded, StandardCharsets.UTF_8);
            final String[] values = credentials.split(":", 2);
            if (values.length == 2) {
                return values;
            }
        }
        return null;
    }
}

extractCredentials() 方法首先检查Authorization头是否存在,并验证头是否以"Basic "前缀开头。接着,它从头值中移除前缀。然后使用Base64.getDecoder() 解码剩余的Base64编码字符串。解码后,字节被转换为UTF-8字符串。结果字符串应遵循username:password格式。最后,该方法在第一个冒号处分割字符串,返回包含用户名和密码的两个元素数组。如果头无效或格式不正确,则返回null。我们可以轻松地在RestController中使用extractCredentials() 方法:

$ java
@GetMapping("/extract")
public ResponseEntity<String> extract(@RequestHeader("Authorization") String authHeader) {
    String[] credentials = BasicAuthExtractor.extractCredentials(authHeader);
    if (credentials != null) {
        String username = credentials[0];
        String password = credentials[1];
        return ResponseEntity.ok("Extracted Username: " + username +
          " Extracted Password: " + password);
    }
    return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}

我们使用@RequestHeader注解从传入请求中获取Authorization头值。

4.2. 自定义 Servlet 过滤器

另一种方法是创建一个自定义Filter,读取头、提取密码,并将其存储在请求属性中以供后续使用。我们来创建一个AuthFilter类来实现此操作:

$ java
@Component
public class AuthFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
        FilterChain filterChain) throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        String[] credentials = BasicAuthExtractor.extractCredentials(authHeader);
        if (credentials != null) {
            request.setAttribute("rawPassword", credentials[1]);
        }
        filterChain.doFilter(request, response);
    }
}

该过滤器拦截每个传入的HTTP请求,读取Authorization头,然后使用extractCredentials() 方法提取密码,并在继续过滤器链之前将其存储为请求属性。之后,在我们的服务或控制器中,可以安全地检索它:

$ java
String rawPassword = (String) request.getAttribute("rawPassword");

5. 测试 BasicAuthExtractor

我们先测试核心提取逻辑。首先,需要确保它正确处理有效的Basic认证头,并返回预期的凭据数组:

$ java
@Test
void givenValidHeader_whenExtract_thenReturnCredentialsArray() {
    // Given
    String header = encodeCredentials("admin", "secret");
    // When
    String[] credentials = BasicAuthExtractor.extractCredentials(header);
    // Then
    assertThat(credentials).isNotNull();
    assertThat(credentials).hasSize(2);
    assertThat(credentials[0]).isEqualTo("admin");
    assertThat(credentials[1]).isEqualTo("secret");
}

为了保持测试简洁易读,我们使用一个帮助方法来处理Base64编码和头格式化:

$ java
private String encodeCredentials(String username, String password) {
    String credentials = username + ":" + password;
    return "Basic " + Base64.getEncoder().encodeToString(credentials.getBytes());
}

此外,我们需要验证方法对于无效头的处理是否安全返回null,例如缺少Basic前缀或使用不同认证方案的头:

$ java
@Test
void givenMissingBasicPrefix_whenExtract_thenReturnNull() {
    // Given
    String header = "Bearer some-token";
    // When
    String[] credentials = BasicAuthExtractor.extractCredentials(header);
    // Then
    assertThat(credentials).isNull();
}

6. 结论

在本文中,我们学习了HTTP基本认证如何对凭据进行编码,以及如何使用Java的Base64工具手动解码它们。我们还探讨了如何使用自定义过滤器捕获原始密码。虽然提取密码在遗留集成中有时是必要的,但由于固有的安全风险,应尽可能避免。一如既往,源代码可在GitHub上获取。