如何解决Spring WS不接受基本的身份验证凭据
我已经为此苦苦挣扎了一段时间,无法弄清楚我在做什么错。
我应该在Spring中向我的SOAP Web服务添加基本身份验证。我使安全性配置非常简单(也许太简单了),因此它仅集中于基本身份验证(见下文)。
当我从浏览器访问基本URL时,身份验证似乎正在起作用,它会要求提供凭据,如果我提供的凭据正确,它将接受它们。
但是,当我想将包含基本auth头的SOAP请求发送到我的Web服务端点时,Spring Security向我发送回401。我尝试使用SOAPUI,Postman和通过Invoke-WebRequest从Windows Powershell发送请求,结果是相同的,但是如果我使用Wireshark捕获请求,则正确的标头就在那里。
我正在为此项目使用Spring Boot 2.1.8(与Spring Web Services和Security相同的版本)。
安全配置类:
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("foo")
.password(passwordEncoder().encode("bar"))
.roles("USER");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and().httpBasic();
}
@Bean
PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
据我了解,我不需要添加任何内容到 web服务配置本身,因此所有相关的基本身份验证设置都可以在 security config 类中完成。还是我错了?
感谢您的帮助。
更新
这是请求/响应对:
请求:
POST /foo/endpoint/ HTTP/1.1
Accept-Encoding: gzip,deflate
Content-Type: text/xml;charset=UTF-8
SOAPAction: "http://foo.bar"
Authorization: Basic Zm9vOmJhcg==
Content-Length: 9688
Host: localhost:1502
Connection: Keep-Alive
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:foo="http://foobar.com/">
<soapenv:Header/>
<soapenv:Body>
// body omitted
</soapenv:Body>
</soapenv:Envelope>
响应
HTTP/1.1 401
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache,no-store,max-age=0,must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY
WWW-Authenticate: Basic realm="Realm"
Content-Length: 0
Date: Thu,13 Aug 2020 14:22:29 GMT
解决方法
配置(HttpSecurity http)需要一些修改才能在代码中启用http基本身份验证。
authorizeRequests()用于授权目的。用户成功登录后, authorizeRequests()定义了登录用户应可访问的所有资源(端点)。我还建议在授权端点时,最好使用 antMatchers 。例如:我将上面的代码修改为
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("foo")
.password(passwordEncoder().encode("bar"))
.roles("USER");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.httpBasic().and()
.authorizeRequests()
.antMatchers("/simple/**").hasRole("USER");
}
@Bean
PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
我希望这对您有用。尝试并让我知道。
注意:在Spring引导中,只需添加spring-boot-starter-security依赖性,就可以启用安全性,而无需进行任何配置。因此,现在,您尝试重新配置基本的自动配置。通过扩展,WebSecurityConfigurerAdapter类。没错。
POSTMAN:使用授权标头
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。