Spring WS不接受基本的身份验证凭据

Question

我已经为此苦苦挣扎了一段时间，无法弄清楚我在做什么错。

我应该在Spring中向我的SOAP Web服务添加基本身份验证。我使安全性配置非常简单（也许太简单了），因此它仅集中于基本身份验证（见下文）。

当我从浏览器访问基本URL时，身份验证似乎正在起作用，它会要求提供凭据，如果我提供的凭据正确，它将接受它们。

但是，当我想将包含基本auth头的SOAP请求发送到我的Web服务端点时，Spring Security向我发送回401。我尝试使用SOAPUI，Postman和通过Invoke-WebRequest从Windows Powershell发送请求，结果是相同的，但是如果我使用Wireshark捕获请求，则正确的标头就在那里。

我正在为此项目使用Spring Boot 2.1.8（与Spring Web Services和Security相同的版本）。

安全配置类：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("foo")
            .password(passwordEncoder().encode("bar"))
            .roles("USER");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .anyRequest().authenticated()
            .and().httpBasic();
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

据我了解，我不需要添加任何内容到 web服务配置本身，因此所有相关的基本身份验证设置都可以在 security config 类中完成。还是我错了？

感谢您的帮助。

更新

这是请求/响应对：

请求：

POST /foo/endpoint/ HTTP/1.1
Accept-Encoding: gzip,deflate
Content-Type: text/xml;charset=UTF-8
SOAPAction: "http://foo.bar"
Authorization: Basic Zm9vOmJhcg==
Content-Length: 9688
Host: localhost:1502
Connection: Keep-Alive
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:foo="http://foobar.com/">
   <soapenv:Header/>
   <soapenv:Body>
   // body omitted
   </soapenv:Body>
</soapenv:Envelope>

响应

HTTP/1.1 401 
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY
WWW-Authenticate: Basic realm="Realm"
Content-Length: 0
Date: Thu, 13 Aug 2020 14:22:29 GMT

Answer 1

配置（HttpSecurity http）需要一些修改才能在代码中启用http基本身份验证。

authorizeRequests（）用于授权目的。用户成功登录后， authorizeRequests（）定义了登录用户应可访问的所有资源（端点）。我还建议在授权端点时，最好使用 antMatchers 。例如：我将上面的代码修改为

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter 
{

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
            .withUser("foo")
            .password(passwordEncoder().encode("bar"))
            .roles("USER");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.httpBasic().and()
            .authorizeRequests()
            .antMatchers("/simple/**").hasRole("USER");
}

@Bean
PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
} 
}

我希望这对您有用。尝试并让我知道。

注意：在Spring引导中，只需添加spring-boot-starter-security依赖性，就可以启用安全性，而无需进行任何配置。因此，现在，您尝试重新配置基本的自动配置。通过扩展，WebSecurityConfigurerAdapter类。没错。

POSTMAN：使用授权标头