springsecurity basic

### Spring Security Basic 认证配置 在Spring Security框架内，Basic认证是一种基于HTTP协议的安全机制。通过该机制，客户端发送带有用户名和密码的请求头给服务器端验证身份[^1]。 #### 配置依赖项 为了启用基本认证功能，在项目pom.xml文件中需引入`spring-boot-starter-security`依赖： ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` #### 启用并定制化安全设置 创建一个类继承自`WebSecurityConfigurerAdapter`来覆盖默认行为，并重写其中的方法来自定义安全策略。下面是一个简单的例子展示如何开启基础认证服务: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() // 如果不需要CSRF保护可以禁用它. .authorizeRequests() .antMatchers("/login", "/css/**").permitAll()//允许访问登录页面以及静态资源 .anyRequest().authenticated(); //其他所有请求都需要经过身份验证 http.formLogin().and().httpBasic(); // 开启表单登陆与Http Basic支持 } } ``` 这段代码实现了对应用路径下的大部分URL实施强制的身份验证措施；对于特定地址如/login则无需鉴权即可访问[^3]。 #### 创建用户详情服务 为了让应用程序能够识别合法用户的凭证信息，还需要提供实现`UserDetailsService`接口的服务组件。这里给出了一种内存中的简单示例： ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { if ("admin".equals(username)) { return User.withDefaultPasswordEncoder() .username("admin") .password("{noop}secret") // 明文存储仅用于测试环境，请勿应用于生产环境中！ .roles("USER","ADMIN") .build(); } throw new UsernameNotFoundException("Invalid user"); } } ``` 此部分负责返回匹配传入名称的对象实例，如果找不到对应记录就抛出异常通知调用方不存在这样的账户数据[^2]。 #### 客户端构建Header 当向受保护的应用程序发起请求时，应该按照如下方式构造Authorization头部字段的内容： ```java private String getBasicAuthHeader(){ String auth = "admin" + ":" + "secret"; byte[] encodedAuth = Base64.getEncoder().encode(auth.getBytes()); String authHeader = "Basic " + new String(encodedAuth); return authHeader; } ``` 上述函数会生成形似 `Basic YWRtaW46c2VjcmV0` 的字符串作为HTTP请求的一部分传递给目标站点完成身份确认过程[^4]。