Spring Security中如何配置HTTP Basic认证？

题目

Spring Security中如何配置HTTP Basic认证？

信息

• 类型：问答
• 难度：⭐

考点

认证配置,HTTP Basic,安全配置

快速回答

在Spring Security中配置HTTP Basic认证需要以下步骤：

1. 添加Spring Security依赖到项目
2. 创建安全配置类继承WebSecurityConfigurerAdapter
3. 重写configure(HttpSecurity http)方法
4. 使用http.httpBasic()启用Basic认证
5. 配置内存用户认证（示例）

原理说明

HTTP Basic认证是一种简单的身份验证机制：

• 客户端发送请求时在Authorization头携带Base64编码的用户名密码
• 格式：Basic base64(username:password)
• 服务端解码验证凭据，失败返回401状态码

代码示例

安全配置类示例：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()  // 所有请求需认证
            .and()
            .httpBasic();  // 启用HTTP Basic认证
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user")  // 创建内存用户
            .password("{noop}password")  // {noop}表示明文密码
            .roles("USER");
    }
}

最佳实践

• 密码加密：生产环境务必使用密码编码器（如BCryptPasswordEncoder）
• HTTPS：Basic认证传输明文凭据，必须配合HTTPS使用
• 角色控制：通过.hasRole("ADMIN")等方法细化权限

常见错误

• 缺少密码编码器：未配置时会出现There is no PasswordEncoder mapped错误
  解决方案：添加{id}encoded_password前缀或配置全局编码器
• 忽略静态资源：未放行CSS/JS文件导致样式失效
  解决方案：.antMatchers("/css/**").permitAll()
• 配置顺序错误：authorizeRequests()必须放在httpBasic()之前

扩展知识

• 认证流程：AuthenticationFilter拦截请求 → 创建UsernamePasswordAuthenticationToken → AuthenticationManager验证
• 替代方案：表单登录（.formLogin()）、OAuth2、JWT等
• 安全响应头：Spring Security默认添加X-Content-Type-Options等安全头