10.4 Basic and Digest Authentication

Basic身份验证和Digest身份验证是Web应用程序中流行的可选的身份验证机制。Basic身份验证通常用于无状态客户端，这些客户端每次请求时上传递其凭证。在应用程序通过基于浏览器的用户界面和作为Web服务使用的情况下，将其与基于表单的身份验证结合使用是非常常见的。但是，Basic身份验证以纯文本形式传输密码，因此它应该只在加密传输层（如https）上使用。

10.4.1 BasicAuthenticationFilter

basicauthenticationfilter负责处理HTTP头中显示的基本身份验证凭据。这可以用于验证由Spring远程处理协议（如Hessian和Burlap）以及普通浏览器用户代理（如Firefox和Internet Explorer）发出的调用。HTTP基本身份验证的标准由RFC1945第11节定义，basicauthenticationfilter符合此RFC。基本身份验证是一种很有吸引力的身份验证方法，因为它在用户代理中被广泛部署，而且实现非常简单（它只是用户名：password的base64编码，在HTTP头中指定）。

配置

要实现HTTP Basic 身份验证，需要向过滤器链中添加一个 BasicAuthenticationFilter 。应用程序上下文应包含BasicAuthenticationFilter 及其所需的合作者：

class="org.springframework.security.web.authentication.www.BasicAuthenticationFilter">

class="org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint">

配置的 AuthenticationManager 处理每个认证请求。如果认证失败，将使用配置的 AuthenticationEntryPoint 重试身份验证过程。通常，您将结合 BasicAuthenticationEntryPoint 使用过滤器，它返回带有合适头的401响应，以重试HTTPBasic 认证。如果认证成功，则生成的 Authentication 对象将像往常一样放入SecurityContextholder中。

如果身份验证事件成功，或者由于HTTP头不包含受支持的身份验证请求头而未尝试身份验证，则筛选器链将正常继续。只有当身份验证失败并调用 AuthenticationEntryPoint 时，过滤器链才会中断。

10.4.2 DigestAuthenticationFilter

DigestAuthenticationFilter能够处理HTTP头中显示的摘要式身份验证凭据。摘要式身份验证试图解决基本身份验证的许多弱点，特别是通过确保凭证从未以明文形式跨线发送来解决。许多用户代理支持摘要式身份验证，包括Mozilla Firefox和Internet Explorer。管理HTTP摘要式身份验证的标准由RFC2617定义，它更新了RFC2069规定的摘要式身份验证标准的早期版本。大多数用户代理实现RFC2617。Spring Security的DigestAuthenticationFilter与RFC2617规定的“认证”保护质量（QOP）兼容，后者还提供了与RFC2069的向后兼容性。如果您需要使用未加密的HTTP（即没有TLS/HTTPS），并且希望最大限度地提高身份验证过程的安全性，那么摘要式身份验证是一个更具吸引力的选项。事实上，摘要式身份验证是WebDAV协议的强制性要求，如RFC2518第17.1节所述。

您不应该在现代应用程序中使用Digest，因为它被认为是不安全的。最明显的问题是，必须以明文、加密或MD5格式存储密码。所有这些存储格式都被认为是不安全的。相反，您应该使用单向自适应密码散列（即bcrypt、pbkdf2、scrypt等）。

摘要式身份验证的核心是“nonce”。这是服务器生成的值。Spring Security的nonce采用以下格式：

base64(expirationTime + ":" + md5Hex(expirationTime + ":" + key))

expirationTime:  The date and time when the nonce expires, expressed in milliseconds

key:              A private key to prevent modification of the nonce token

DigestAuthenticationEntryPoint具有一个属性，通过指定key值用于生成nonce令牌的，以及一个用于确定到期时间的nonEvaliditySeconds属性（默认值300，等于5分钟）。当nonce有效时，通过连接各种字符串（包括用户名、密码、nonce、请求的uri、客户端生成的nonce（仅用户代理生成每个请求的随机值）、领域名称等）计算摘要，然后执行MD5哈希。服务器和用户代理都执行这个摘要计算，如果它们对包含的值（如密码）不一致，则会产生不同的哈希代码。在Spring安全性实现中，如果服务器生成的nonce仅仅过期（但摘要在其他方面有效），DigestAuthenticationEntryPoint将发送一个“stale=true”头。这告诉用户代理不需要干扰用户（因为密码和用户名等是正确的），只需使用新的nonce再试一次。

DigestAuthenticationEntryPoint的nonEvaluitySeconds参数的适当值取决于您的应用程序。非常安全的应用程序应该注意，在达到nonce中包含的过期时间之前，可以使用截获的身份验证头来模拟主体。这是选择适当设置时的关键原则，但对于非常安全的应用程序来说，在第一个实例中不通过TLS/HTTPS运行是不常见的。

由于摘要式身份验证的实现更加复杂，因此经常会出现用户代理问题。例如，Internet Explorer无法在同一会话中的后续请求上显示“opaque    ”令牌。因此，Spring安全过滤器将所有状态信息封装到“nonce”令牌中。在我们的测试中，Spring Security的实现与Mozilla Firefox和Internet Explorer可靠地工作，正确地处理非紧急超时等。

配置

现在我们回顾了这个理论，让我们看看如何使用它。要实现HTTP摘要身份验证，需要在过滤器链中定义DigestAuthenticationFilter。应用程序上下文需要定义DigestAuthenticationFilter及其所需的合作者：

    "org.springframework.security.web.authentication.www.DigestAuthenticationFilter">

    "org.springframework.security.web.authentication.www.DigestAuthenticationEntryPoint">

由于 DigestAuthenticationFilter 必须直接访问用户的明文密码，因此需要配置的UserDetailsService。如果在DAO中使用编码密码，摘要式身份验证将不起作用。DAO合作者和用户缓存通常直接与DAO身份验证提供程序共享。authenticationEntryPoint 属性必须是 DigestAuthenticationEntryPoint，以便 digestauthenticationFilter 可以为digest计算获取正确的 realmName 和 key。

与 BasicAuthenticationFilter 类似，如果验证成功，则将向 SecurityContextHolder 中放置认证请求令牌。如果身份验证事件成功，或者由于HTTP头不包含摘要式身份验证请求而未尝试身份验证，则筛选器链将正常继续。如前一段所述，只有当身份验证失败并调用authenticationEntryPoint时，过滤器链才会中断。

摘要式身份验证的RFC提供了一系列附加功能，以进一步提高安全性。例如，可以根据每个请求更改nonce。尽管如此，Spring Security 实现的目的是最小化实现的复杂性（以及可能出现的毫无疑问的用户代理不兼容性），并避免需要存储服务器端状态。如果您希望更详细地探讨这些特性，请您查看RFC2617。据我们所知，Spring Security的实现确实符合这个RFC的最低标准。