API安全(四)-认证

1、什么是认证

  认证是指我们去验证用户身份是否合法的过程。

2、认证和登陆的区别

  很多人会把认证和登陆混为一谈,其实两者完全是两个概念。认证不是登陆,登陆是指用户获取身份证明的一个过程,认证是指我们去验证这个用户身份是否合法的过程。

  登陆的行为,往往只发生一次,登陆成功后,会保存一段时间用户信息。而认证,每次请求去调用业务逻辑的时候都会去执行。

  再有就是登陆一旦有问题,就不会继续往下走,比如说,登陆时用户名或密码填写错误了,这时会进行报错或返回,不会继续往下执行。而认证的话,不管认证信息是否正确,在整个安全机制链路中还是会继续往下执行(如下图),让后面的审计机制,去记录这次身份认证的结果是什么样子的。最终请求是不是可以被通过,要由授权来决定。而不是由认证来决定的。比如说当前请求没有用户认证信息或者认证机制根本没生效,但是这个请求,有可能是可以正常访问的。比如说首页,获取商品信息等。

API安全(四)-认证

3、HttpBasic认证

  基于http协议的认证方式由很多,这里,我们先了解一下最简单的HttpBasic认证,这是一个最基础的认证。HttpBasic验证方案是在 RFC 7617中规定的,在该方案中,使用用户的 ID/密码作为凭证信息,并且使用 base64 算法进行编码。

  步骤:3.1、用冒号将用户名和密码进行拼接(如:aladdin:opensesame)。

       3.2、将第一步生成的结果用 base64 方式编码(YWxhZGRpbjpvcGVuc2VzYW1l)。

       3.3、将编码后的字符串拼接上验证类型Basic 放入到请求头Authorization中(Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l)。

  注意:对于需要在浏览器进行弹出输入用户名和密码框的,要在相应头中添加WWW-Authenticate并且Http状态码为401。

  优点:简单,方便,所有的主流浏览器都支持。

  缺点:Base64编码并不是一种加密方法或者hashing方法!这种方法的安全性与明文发送等同(base64可以逆向解码)。“基本验证”方案需要与HTTPS协议配合使用。

 

  http身份认证参考文档:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Authentication

  请求头Authorization参考文档:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Authorization

4、代码示例

   4.1、数据准备

  API安全(四)-认证

  4.2、编写HttpBasic认证过滤器

/**
 * HttpBasic 认证
 *
 * @author caofanqi
 * @date 2020/1/21 15:10
 */
@Slf4j
@Component
@SuppressWarnings("ALL")
public class BasicAuthorizationFilter extends OncePerRequestFilter {

    @Resource
    private UserRepository userRepository;


    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        String authorizationHeader = request.getHeader("Authorization");

        if (StringUtils.isNotBlank(authorizationHeader)) {

            String token64 = StringUtils.substringAfter(authorizationHeader, "Basic ");

            if (StringUtils.isNotBlank(token64)) {
                try {
                    String token = new String(Base64Utils.decodeFromString(token64));
                    String[] items = StringUtils.splitByWholeSeparatorPreserveAllTokens(token, ":");
                    String username = items[0];
                    String password = items[1];

                    UserDO user = userRepository.findByUsername(username);

                    if (user != null && StringUtils.equals(user.getPassword(), password)) {
                        //认证通过,存放用户信息
                        request.setAttribute("user", user);
                    }

                } catch (Exception e) {
                    log.info("Basic Authorization Fail!");
                }
            }

        }

        //不管认证是否正确,继续往下走,是否可以访问,交给授权处理
        filterChain.doFilter(request, response);

    }

}

  4.3、因为我们还没有学习授权机制,所以这里使用代码来控制,UserController获取用户信息方法

    @GetMapping("/{id}")
    public UserDTO get(@PathVariable Long id, HttpServletRequest request, HttpServletResponse response) throws IOException {

        /*
         * 因为还没有学习授权机制,这里写代码进行控制
         */
        UserDO user = (UserDO) request.getAttribute("user");

        if (user == null){
            //说明没有进行认证,返回401和WWW-Authenticate
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            response.setHeader("WWW-Authenticate","Basic realm=<authentication required>");
            return null;
        }

        if (!user.getId().equals(id)){
            //只能查看自己的用户信息,不是本人,返回403
            response.setStatus(HttpStatus.FORBIDDEN.value());
            response.getWriter().write("permission denied");
            response.getWriter().flush();
            return null;
        }

        return userService.get(id);
    }

  4.4、启动项目,访问http://127.0.0.1:9090/users/1,会弹出输入框,我们输入lisi的用户名和密码

  API安全(四)-认证

 

  这时我们查看请求头中已经带有Authorization认证信息,但是还是返回给我们403,那是因为lisi的id为2。

  API安全(四)-认证

 

  访问http://127.0.0.1:9090/users/2 ,可以正常获取用户信息

  API安全(四)-认证

 

项目源码: https://github.com/caofanqi/study-security/tree/dev-httpbasic

API安全(四)-认证

上一篇:C# 汉字转拼音静态类,包括功能全拼和缩写,方法全部是静态的


下一篇:转:C#:在AnyCPU模式下使用CefSharp