Spring security基本身份验证仅验证第一个请求

Question

我正在使用带有自定义身份验证提供程序的 spring 基本身份验证：

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired
private CustomAuthenticationProvider authProvider;

@Override
protected void configure(
        AuthenticationManagerBuilder auth) throws Exception {

    auth.authenticationProvider(authProvider);
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().anyRequest().authenticated()
            .and()
            .httpBasic();
}

和

    @Component
public class CustomAuthenticationProvider implements AuthenticationProvider {

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {

    String name = authentication.getName();
    String password = authentication.getCredentials().toString();

    if (customauth()) { // use the credentials
        // and authenticate against the third-party system
        {
            return new UsernamePasswordAuthenticationToken(
                    name, password, new ArrayList<>());
        }
    } else {
        return null;
    }

}

@Override
public boolean supports(Class<?> authentication) {
    return authentication.equals(
            UsernamePasswordAuthenticationToken.class
    );
}

为了测试这一点，我使用邮递员进行以下测试：

无效凭据 -> 401 未经授权

正确的凭据 -> 200 OK

无效的凭据 -> 200 OK

我的问题是最后一个请求应该返回 401 未经授权，并且成功登录后的每个后续请求都是 200 OK 即使使用错误的令牌和没有令牌。

提前致谢。

Answer 1

当你登录成功后，Spring Security 将创建一个Authentication 对象，并将其放入你的HTTP 会话中的SecurityContext。只要您在服务器上有一个有效的会话与有效的Authentication 对象，Spring Security 将不会再次验证您的请求，并将使用保存在会话中的Authentication 对象。

Answer 2

这是一个 Spring Security 特性，见SEC-53:

检查 SecurityContextHolder 以获得经过身份验证的身份验证并在这种情况下重用它，不要再次调用身份验证管理器。

如果你想重新认证，你可以

• 根本不使用任何会话
• 在重新验证之前注销

在这两种情况下，Spring Security 都不会找到保存在会话中的经过身份验证的用户，并将使用新的用户名和密码进行身份验证。