开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Spring Boot:将基本身份验证从REST控制器“中继”到RestTemplate

基础概念

Spring Boot 是一个用于简化 Spring 应用程序初始搭建以及开发过程的框架。它提供了许多默认配置，使得开发者能够快速地创建独立的、生产级别的基于 Spring 的应用程序。

基本身份验证（Basic Authentication）是一种简单的身份验证机制，客户端将用户名和密码以 Base64 编码的形式发送到服务器进行验证。

RestTemplate 是 Spring 提供的一个同步的 HTTP 客户端，用于发送 HTTP 请求和处理响应。

相关优势

简化配置：Spring Boot 自动配置了许多组件，减少了手动配置的工作量。
内建支持：Spring Boot 内建了对 RestTemplate 的支持，方便进行 HTTP 请求。
安全性：基本身份验证虽然简单，但在传输过程中使用 HTTPS 可以确保数据的安全性。

类型

在 Spring Boot 中，可以通过以下几种方式实现基本身份验证：

手动设置：在 RestTemplate 中手动设置请求头，包含 Base64 编码的用户名和密码。
拦截器：使用拦截器（Interceptor）在请求发送前自动添加身份验证信息。
HTTP 客户端库：使用 Apache HttpClient 或其他 HTTP 客户端库来处理身份验证。

应用场景

当你的 Spring Boot 应用需要与需要基本身份验证的外部服务进行通信时，可以使用 RestTemplate 来实现。

示例代码

以下是一个使用拦截器将基本身份验证从 REST 控制器“中继”到 RestTemplate 的示例：

import org.springframework.http.HttpRequest;
import org.springframework.http.client.ClientHttpRequestExecution;
import org.springframework.http.client.ClientHttpRequestInterceptor;
import org.springframework.http.client.ClientHttpResponse;
import org.springframework.web.client.RestTemplate;

import java.nio.charset.StandardCharsets;
import java.util.Base64;

public class BasicAuthInterceptor implements ClientHttpRequestInterceptor {

    private final String username;
    private final String password;

    public BasicAuthInterceptor(String username, String password) {
        this.username = username;
        this.password = password;
    }

    @Override
    public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution) throws IOException {
        String auth = username + ":" + password;
        byte[] encodedAuth = Base64.getEncoder().encode(auth.getBytes(StandardCharsets.UTF_8));
        String authHeaderValue = "Basic " + new String(encodedAuth);
        request.getHeaders().add("Authorization", authHeaderValue);
        return execution.execute(request, body);
    }
}

@RestController
public class MyController {

    private final RestTemplate restTemplate;

    public MyController() {
        RestTemplate restTemplate = new RestTemplate();
        restTemplate.getInterceptors().add(new BasicAuthInterceptor("username", "password"));
        this.restTemplate = restTemplate;
    }

    @GetMapping("/data")
    public String getData() {
        String url = "https://api.example.com/data";
        ResponseEntity<String> response = restTemplate.getForEntity(url, String.class);
        return response.getBody();
    }
}

参考链接

通过上述示例代码，你可以在 Spring Boot 应用中使用 RestTemplate 进行基本身份验证的请求。

相关搜索:Spring Boot Rest控制器错误使用Jackson和Hibernate将POJO转换为JSON Spring Boot从当前控制器方法重定向到另一个控制器方法 spring boot将参数从列表传递到控制器 Spring Boot，如何将AuthenticationPrinciple从测试传递到控制器？Spring-Boot REST服务基本http身份验证排除一个端点从Spring Boot Rest控制器中排除空属性从Spring Boot Rest控制器访问JWT令牌如何使用Spring Boot将JPA数据从rest资源返回到网页？如何在spring boot应用程序中从rest控制器触发quartz作业？如何将Spring Boot REST API部署到BanaHost cPanel？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Spring Security入门5：创建首个HelloWorld项目

首先，请同学们在你本地的IDE中创建一个新的Maven项目，选择 Spring Initializr 作为项目的初始化方式。

01

Spring Boot实现带STOMP的WebSocket

WebSocket协议是应用程序处理实时消息的方法之一。最常见的替代方案是长轮询(long polling)和服务器推送事件(server-sent events)。这些解决方案中的每个都有其优缺点。在本文中，我将向您展示如何使用 SpringBoot实现 WebSocket。我将介绍服务器端和客户端设置，使用 WebSocket协议之上的 STOMP进行相互通信。

02

Spring Boot 与 OAuth2

原文：Spring Boot and OAuth2 译者：nycgym 原文：http://www.spring4all.com/article/827 本指南将向你展示如何使用OAuth2和Spri

快试试用API Key来保护你的SpringBoot接口安全吧~

安全性在REST API开发中扮演着重要的角色。一个不安全的REST API可以直接访问到后台系统中的敏感数据。因此，企业组织需要关注API安全性。

04

初试Spring Boot：构建第一个Web程序

开发一个全新的项目，需要先搭建开发环境，例如确定要使用的技术框架及版本，还要考虑各个框架之间的版本兼容问题。完成这些烦琐的工作后，还要对新项目进行配置，测试其能否正常运行，最后才将搭建好的环境提交给项目组的其他成员使用。经常会出现的情形是，项目表面上已经成功运行，但部分项目组成员仍然无法运行项目。对于每一个项目，在初期都会浪费大量的时间做这些固定的事情。

02

Spring Boot构建系统

在Spring Boot中，选择构建系统是一项重要任务。建议使用Maven或Gradle，因为它们可以为依赖关系管理提供良好的支持。Spring不支持其他构建系统。

01

Spring Boot的安全配置（二）

OAuth 2.0是一种授权协议，允许用户授权第三方应用程序访问他们的资源。在Spring Boot中，可以使用spring-security-oauth2-autoconfigure库来实现OAuth 2.0身份验证。该库提供了一些可用的OAuth 2.0身份验证客户端，包括Facebook、GitHub、Google和Twitter等。

05

Spring WebFlux 教程：如何构建一个简单的响应应式 Web 应用程序

反应式系统是采用反应式架构模式设计的系统，该模式优先考虑使用松散耦合、灵活和可扩展的组件。它们在设计时还考虑了故障解决方案，以确保即使一个系统出现故障，大部分系统仍能运行。

04

spring之session

Spring Session的目标是从存储在服务器中的HTTP会话的限制中释放会话管理。

01

微服务断路器模式那家强：Istio vs Hystrix？

本文作者由浅及深，从核心问题的引入到具体模式的代码实现，阐述了微服务两种断路器模式的实现原理、优缺点以及二者的比较。

02

内网协议NTLM之内网大杀器CVE-2019-1040漏洞

Preempt的研究人员发现了如何在NTLM身份验证上绕过MIC(Message Integrity Code)保护措施并修改NTLM消息流中的任何字段（包括签名）。该种绕过方式允许攻击者将已经协商签名的身份验证尝试中继到另外一台服务器，同时完全删除签名要求。所有不执行签名的服务器都容易受到攻击。这个漏洞其实就是可以绕过NTLM MIC的防护，也是NTLM_RELAY漏洞。攻击者利用该漏洞可以绕过NTLM中的MIC（Message Integrity Code）。攻击者可以修改已经协商签名的身份验证流量，然后中继到另外一台服务器，同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下，运程控制域中任意机器（包括域控服务器）。

03

SpringCloud服务发现注册Eureka +Ribbon + Feign

假设有2个微服务A和B分别在端点http：// localhost：8181 /和http：// localhost：8282 /上运行，如果想要在A服务中调用B服务，那么我们需要在A服务中键入B服务的url，这个url是负载均衡器分配给我们的，包括负载平衡后的IP地址，那么很显然，B服务与这个URL硬编码耦合在一起了，如果我们使用了服务自动注册机制，就可以使用B服务的逻辑ID，而不是使用特定IP地址和端口号来调用服务。

02

Spring Boot :四大神器之Starter

Spring Boot有四大神器，分别是auto-configuration、starters、cli、actuator。

01

Spring Security OAuth 2开发者指南译

这是用户指南的支持OAuth 2.0。对于OAuth 1.0，一切都是不同的，所以看到它的用户指南。

01

Spring认证指南：了解如何使用 Spring Security 保护您的 Web 应用程序

本指南将引导您完成使用受 Spring Security 保护的资源创建简单 Web 应用程序的过程。

02

Spring Security OAuth 2开发者指南

这个用户指南支持OAuth 2.0。对于OAuth 1.0，一切都是不同的，所以去这里看它的用户指南。

02

结合CVE-2019-1040漏洞的两种域提权深度利用分析

作者：天融信阿尔法实验室一、漏洞概述2019年6月，Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞，攻击者可以通过中间人攻击，绕过NTLM MIC（消息完整性检查）保护，将身份验证流量中继到目标服务器。通过这种攻击使得攻击者在仅有一个普通域账号的情况下可以远程控制 Windows 域内的任何机器，包括域控服

02

50个必须要会的微服务面试题[每日前端夜话0xAB]

根据 Gartner 的说法，微服务是云开发的新应用平台。微服务是独立部署和管理的，一旦应用实现在容器内，它们与底层操作系统的交互很少。因此，如果你希望把微服务添加到自己的技术栈中，并想要了解与之相关的技能，那么现在正是潜心研究的时候。为了帮你准备面试，我写出了这篇关于微服务面试题的文章。

03

Spring Boot的新篇章：探索2.0版的创新功能

Spring Boot是Java世界中最受欢迎的微服务框架之一，其简化的配置和开箱即用的特性使得构建企业级应用变得更加容易。随着时间的推移，Spring Boot不断演进，为开发者提供了许多创新功能。本文将深入探讨Spring Boot 2.0版本中的一些新功能，以及如何在项目中应用它们。

01

PetitPotam – NTLM 中继到 AD CS

在企业环境中部署 Active Directory 证书服务 (AD CS) 可以允许系统管理员利用它在不同目录对象之间建立信任。但是，它可能允许红队操作员对 AD CS 的 Web 界面进行 NTLM 中继攻击，以破坏网络。Web 界面用于允许用户获取证书（Web 注册），通过 HTTP 协议，不支持签名并接受 NTLM 身份验证。

01

Spring Websocket 中文文档 (spring5)

这部分参考文档包括对Servlet堆栈的支持，包括原始WebSocket交互的WebSocket消息传递，通过SockJS的WebSocket仿真，以及通过STOMP作为WebSocket上的子协议的pub-sub消息传递。

07

SpringCloud-基于Oauth2的SSO单点登录原理解析与实现

单点登录（SSO）是一种身份验证过程，允许用户通过一次登录访问多个系统。本文将深入解析单点登录的原理，并详细介绍如何在Spring Cloud环境中实现单点登录。通过具体的架构图和代码示例，我们将展示SSO的工作机制和优势，帮助开发者更好地理解和应用这一技术。

02

太强了！ChatGPT+ Spring 生成图像

ChatGPT 是由 OpenAI 开发的强大语言模型，可以用于生成类似人类的文本。OpenAI API 允许开发人员访问该模型并在其自己的应用程序中使用。在本文中，我们将讨论如何使用 Java Spring Framework 与 OpenAI API 生成图像。

02

Apache Shiro：强大的Java安全框架

Apache Shiro 是一个强大且易用的 Java 安全框架，旨在提供身份验证、授权、加密、会话管理等一系列的安全功能。它可以帮助开发者快速、轻松地保护从最小的移动应用程序到最大的网络和企业应用程序的各种应用。Shiro 的设计理念是简单直观，易于理解和使用，旨在为用户提供一站式的安全解决方案。

03

超详细！一步一步教会你如何使用Java构建单点登录

在开发应用程序时，通常只有一台资源服务器为多个客户端应用程序提供数据。尽管这些应用程序可能具有相似的用户，但它们可能具有执行所需的不同权限。设想一种情况，其中第一个应用程序的一部分用户应有权访问第二个应用程序（以管理控制台应用程序与客户端或用户应用程序相对应）；您将如何执行此操作？在本文中，我将向您展示如何使用Okta和Spring Boot通过两个客户端应用程序和一个资源服务器来实现单点登录。我还将讨论如何使用访问策略来强制执行身份验证和授权策略，以及如何基于应用程序范围来限制对资源服务器的访问。在进入代码之前，您需要适当的用户身份验证配置。今天，您将使用Okta作为OAuth 2.0和OpenID Connect（OIDC）提供程序。这将使您能够管理用户和组，并轻松启用诸如社交和多因素日志身份验证之类的选项。首先，您需要先注册并创建一个免费的Okta开发人员帐户（如果尚未注册）。您会收到一封电子邮件，其中包含有关如何完成帐户设置的说明。完成此操作后，导航回到您的Okta帐户以设置Web应用程序，用户，资源服务器和授权服务器。首次登录时，可能需要单击黄色的管理按钮才能访问开发人员的控制台。创建两个OpenID Connect应用程序第一步是创建两个OIDC应用程序。OpenID Connect是建立在OAuth 2.0之上的身份验证协议，它是一种授权协议。每个OIDC应用程序都为每个Web应用程序实例定义一个身份验证提供程序终结点。在Okta开发人员控制台中，导航到应用程序，然后单击添加应用程序。选择Web，然后单击Next。使用以下值填充字段：

03

spring security——基本介绍（一）「建议收藏」

其核心就是一组过滤器链，项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份，一个在spring security中一种过滤器处理一种认证方式。

01

巅峰对决！Spring Boot VS .NET 6

Spring Boot 和 ASP.NET Core 都是企业中流行的 Web 框架, 对于喜欢 C# 的人会使用 ASP.NET Core, 而对于 Java 或 Kotlin 等基于 JVM 的语言，Spring Boot 是最受欢迎的。

02

SpringBoot零基础入门到项目实战——学习路线规划与目录结构

当你想要从零开始学习Spring Boot时，以下是一个可以帮助你建立知识体系的大纲学习路线。这个路线涵盖了Spring Boot的基础知识和常用功能，帮助你逐步掌握这一框架。

01

【Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2：底层解析＋使用方法+实战

OAuth2（Open Authorization 2.0）是一种用于授权的开放标准协议，用于通过第三方应用程序访问用户在某个服务提供商上存储的资源，而无需共享用户的凭证（例如用户名和密码）。它允许用户授权给第三方应用程序访问受保护的资源，同时确保用户的凭证信息不被直接暴露给第三方应用程序。

01

微软修复了所有Windows版本中的新NTLM零日漏洞

微软于近期解决了一个积极利用的Windows LSA零日漏洞，未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA（Local Security Authority的缩写）是一个受保护的Windows子系统，它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925，是由Bertelsmann Printing Group的Raphael John报告的，据调查，该漏洞在野已被利用，似乎是PetitPotam NTLM中继攻击的新载体。

02

Java 开发者最值得学习的 14 项技能

如果你想在这个竞争激烈的世界里，成为一名熟练开发 Java 项目的开发人员，你应该学习很多东西才行。你需要掌握许多技能，具体应该掌握的技能组合取决于你的职位。根据关于 Java 编程人员技能的最新调查和当前的市场需求，在这篇文章中我们将讨论，Java 程序员在 2021 年应该优先学习的 14 项内容。

03

为什么选择 Spring 作为 Java 框架？

在本文中，我们将讨论 Spring 作为最流行的 Java 框架之一的主要价值体现。

02

为什么选择 Spring 作为 Java 框架？

在本文中，我们将讨论 Spring 作为最流行的 Java 框架之一的主要价值体现。

02

Spring Boot 从入门到实践系列教程（4）- Spring Boot Starters简介

正文之前先同步一个关于找工作小故事，最近一周帮我以前一个同事推荐工作，顺便了解下行情，我这个同事我感觉还行，技术不说有多好，但是往年绝对不至于简历筛选时被刷掉那种，最先开始推给了一个我比较信任的HR手里，她兼职猎头，推给这个HR以后，投给了某陌社交平台，她说比较悬，不一定有结果，原因是他现在的工资太低了。不到20k，如果简历在没什么亮点，会被认为你能力不行。面试的机会可能都没了。果不其然。

02

为什么选择 Spring 作为 Java 框架？

在本文中，我们将讨论 Spring 作为最流行的 Java 框架之一的主要价值体现。

02

SpringBoot2 整合OAuth2组件，模拟第三方授权访问

验证第三方服务的身份，验证邮箱用户的身份，记录和管理认证Token，为资源服务器提供Token校验。场景：第三方网站借助用户的邮箱登录，并访问邮箱账户的基础信息，头像、名称等。

01

SpringMVC+RestFul详细示例实战教程一（实现跨域访问+postman测试）

注意：由于文章篇幅太长，超出了字数，这是文章的第一部分，明天分享文章的第二部分，请见谅！

02

大牛教大家如何用SpringBoot技术快速实现天气预报系统

通过这个系统，一方面可以了解Spring Boot的全面用法，为后续创建微服务应用打下基础;另一方面，该系统会作为本节进行微服务架构改造的非常好的起点。

03

2022 最新微服务面试题 (一)

微服务，又称微服务架构，是一种架构风格，它将应用程序构建为以业务领域为

01

Java 新手如何使用Spring MVC RestAPI的加密

随着互联网的普及和应用程序的发展，数据安全和隐私保护成为了至关重要的问题。在开发Java应用程序时，保护传输的数据免受未经授权的访问变得尤为重要。本文将介绍如何使用Spring MVC和一些加密技术来保护您的RestAPI，以确保数据在传输过程中是安全的。

01

SpringCloud-Eureka【服务案例】

上篇文章我们介绍了Eureka的集群环境搭建，本文我们来通过Eureka作为注册中心来实现一个案例，案例结构如下

06

进大厂必须掌握的50个微服务面试问题

根据Gartner的说法，微服务是云开发的新应用平台。微服务是独立部署和管理的，一旦在容器内实现，它们与底层操作系统的交互很少。因此，如果您计划在微服务中开始您的职业生涯，那么现在正是潜入技术处于新生状态的时候。因此，为了帮助您准备面试，我提出了微服务面试问题和答案博客。

08

内网渗透之从域用户到企业管理源用户

NTLM中继是一种众所周知的技术，主要用于在网络内的服务器上建立某种立足点或用于权限提升，这种攻击在没有为LDAP和SMB协议启用签名的网络中是可行的，此外使用高权限的帐户对服务器和工作站进行身份验证的域管理员可能会给攻击者提供完整域信息泄露的可能性，因为他们的凭据可以通过LSASS或使用Remote Potato技术进行转储

01

Spring boot with Git version

本文节选自《Netkiller Java 手札》 5.23. Spring boot with Git version Spring boot 每次升级打包发给运维操作，常常运维操作不当致使升级失败，开发怎样确认线上的jar/war包与升级包一致呢？请看下面的解决方案 5.23.1. CommonRestController 公共控制器所有 RestController将会集成 CommonRestController package cn.netkiller.api.rest; import

08

From Domain User to Enterprise Admin

NTLM中继是一种众所周知的技术，主要用于在网络内的服务器上建立某种立足点或用于权限提升，这种攻击在没有为LDAP和SMB协议启用签名的网络中是可行的，此外使用高权限的帐户对服务器和工作站进行身份验证的域管理员可能会给攻击者提供完整域信息泄露的可能性，因为他们的凭据可以通过LSASS或使用Remote Potato技术进行转储

01

Spring Boot 如何集成JWT实现Token验证

近年来，随着前后端分离、微服务等架构的兴起，传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。接下来介绍如何在Spring Boot项目中集成JWT实现Token验证。

02

【SpringSecurity】简介

Spring Security 的前身是Acegi Security，在被收纳为Spring 子项目后正式更名为Spring Security。Spring Security目前已经到了6.x，并且加入了原生OAuth2.0框架，支持更加现代化的密码加密方式。可以预见，在Java应用安全领域，Spring Security会成为被首先推崇的解决方案，就像我们看到服务器就会联想到Linux一样顺理成章。

04

整理了Spring I/O 2023 最前沿的超级干货，足足46个视频，直接拿去！

Spring I/O是Spring开发者的技术大会，这里DD给大家整理了Spring I/O 2023中的优质视频，都是超级干货！

05

单点登录与授权登录业务指南

单点登录（SSO）是一种用户身份验证过程，允许用户使用单一的登录凭据来访问多个应用程序或服务。它减少了需要记忆多个用户名和密码的需求，提高了安全性和用户体验。SSO在企业环境中尤为重要，因为它简化了对多个内部和外部服务的访问过程。

02

REST API面临的7大安全威胁

近年来，互联网上安全漏洞显著增多。互联网安全的话题也被技术博客和论坛讨论得越来越频繁:安全性非常重要，尤其是在REST API的世界中。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭