跳到主要内容
版本:7.0.2

摘要认证

DeepSeek V3 中英对照 Digest Digest Authentication

本节详细介绍了 Spring Security 如何为 摘要认证 提供支持,该功能由 DigestAuthenticationFilter 提供。

注意

在现代应用中,你不应使用摘要认证(Digest Authentication),因为它被认为不够安全。最明显的问题是,你必须以明文、加密或 MD5 格式存储密码。所有这些存储方式都被认为是不安全的。相反,你应该使用单向自适应密码哈希(如 bCrypt、PBKDF2、SCrypt 等)来存储凭据,而摘要认证不支持这些方式。

摘要认证(Digest Authentication)旨在解决基础认证的诸多弱点,特别是确保凭证永远不会以明文形式通过网络传输。许多浏览器都支持摘要认证

HTTP 摘要认证的标准由 RFC 2617 定义,该标准更新了早期由 RFC 2069 规定的摘要认证版本。大多数用户代理都实现了 RFC 2617。Spring Security 的摘要认证支持与 RFC 2617 规定的 "auth" 保护质量 (qop) 兼容,同时也提供了与 RFC 2069 的向后兼容性。如果您需要使用未加密的 HTTP(无 TLS 或 HTTPS)并希望最大限度地提高认证过程的安全性,摘要认证曾被视为一个更具吸引力的选择。然而,每个人都应该使用 HTTPS

摘要认证的核心是“nonce”。这是服务器生成的一个值。Spring Security 的 nonce 采用以下格式:

base64(expirationTime + ":" + md5Hex(expirationTime + ":" + key))
expirationTime:   The date and time when the nonce expires, expressed in milliseconds
key:              A private key to prevent modification of the nonce token

你需要确保使用 NoOpPasswordEncoder配置不安全的明文密码存储。(请参阅 Javadoc 中的 NoOpPasswordEncoder 类。)以下提供了一个使用 Java 配置来配置摘要认证的示例:

@Autowired
UserDetailsService userDetailsService;

DigestAuthenticationEntryPoint authenticationEntryPoint() {
	DigestAuthenticationEntryPoint result = new DigestAuthenticationEntryPoint();
	result.setRealmName("My App Realm");
	result.setKey("3028472b-da34-4501-bfd8-a355c42bdf92");
	return result;
}

DigestAuthenticationFilter digestAuthenticationFilter() {
	DigestAuthenticationFilter result = new DigestAuthenticationFilter();
	result.setUserDetailsService(userDetailsService);
	result.setAuthenticationEntryPoint(authenticationEntryPoint());
	return result;
}

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	http
		// ...
		.exceptionHandling((e) -> e.authenticationEntryPoint(authenticationEntryPoint()))
		.addFilter(digestAuthenticationFilter());
	return http.build();
}