【发布时间】:2021-11-22 00:05:00
【问题描述】:
专家,
我有一个 spring boot 2.5.5 应用程序(嵌入式 tomcat),我必须在其中配置基本身份验证。
这是我为我工作的课程
@Component
@EnableWebSecurity
public class ApplicationSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest()
.authenticated()
.and()
.httpBasic();
}
}
问题是我只需要在浏览器中输入一次用户/密码,它适用于任何后续请求。此外,我不需要在服务器重新启动后提供新的用户名/密码,这让我发疯 - 应用程序仍然有效,我可以访问我的 API/页面。
即使我假设浏览器以某种方式保存了用户名和密码,它也不应该在服务器重新启动后工作,因为密码被更改 - 不是吗?
更新二:
听从 M 的建议。 Deinum 我使会话无状态并且它工作。然后我继续使用 InMemoryUserDetailsManager 实现 Basic Auth 并添加了以下代码,我们又回到了同样的问题。凭据似乎再次存储在会话中,我不需要将它们传递给后续请求。
@Autowired
public ApplicationSecurityConfig(PasswordEncoder passwordEncoder) {
this.passwordEncoder = passwordEncoder;
}
@Override
@Bean
protected UserDetailsService userDetailsService() {
UserDetails user = User
.builder()
.username("admin")
.password(passwordEncoder.encode("admin"))
.roles("ADMINISTRATOR")
.build();
return new InMemoryUserDetailsManager(user);
}
【问题讨论】:
-
一旦服务器被重估.. ?您无需登录即可访问该页面吗?详细说明您的问题。
-
不要在中途更新您的问题以提出其他问题。你问了什么,它得到了回答。然后,您接受答案并继续前进。 Stack Overflow 不是一个论坛,而是一个问答网站。您在中途更改问题告诉我们您没有完全理解您正在寻找的答案。
-
再次,正如我在答案中所说,这就是基本身份验证的工作方式。一旦通过身份验证,浏览器将为每个请求发送用户名/密码。这是内置的浏览器功能......所以除非你重写浏览器(或在浏览器中找到一些秘密标志),否则这就是基本身份验证的工作方式。
-
@M.Deinum 我在配置方法中添加了“http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)”,所以我希望调用应该是无状态的
-
您是否真的阅读答案... 1. 成功身份验证后的 Http Basic 始终发送用户名/密码(这仍然会发生并且使其无状态不会防止这种情况发生,您必须重建浏览器) 2. Stateles 有助于不在会话中存储身份验证,这会阻止在重新启动后仍然进行身份验证。这是两件不同且不相关的事情。我强烈建议您阅读基本身份验证的工作原理。
标签: spring spring-boot spring-security basic-authentication