使用 Spring Security 在同一 URI 映射上支持基本身份验证和摘要身份验证

Question

我有一个用于保护 RESTful 服务的用例，但我不确定它是否可以实现 - 本质上我希望同时设置基本和摘要身份验证。在链中设置两个过滤器应该相对容易，但我不确定如何处理入口点 - 据我所知，两种类型的身份验证有 2 个入口点，但它应该如何处理潜在的工作是调用正确的入口点，以防授权标头带有基本或摘要身份验证逻辑。

我知道在 Spring 3.1 中您可以拥有多个 elemenets，但我认为这在这种情况下没有帮助，因为这 2 个身份验证选项应该在同一映射上支持，并且映射似乎是这 2 个身份验证选项的唯一方法元素可以微分。

我也知道这个问题： Spring Security 3.x：如何同时启用 BASIC 和 DIGEST 身份验证？ 但这似乎并没有解决多个入口点的问题。

有什么我忽略的事情，或者可能没有完全理解的事情吗？ 任何帮助表示赞赏。 谢谢。 欧根.

Answer 1

我已经解决了这个问题 - 我最终所做的是使用摘要身份验证（过滤器和入口点）并在链中的摘要过滤器之后添加基本过滤器。这样，对于具有身份验证凭据（基本或摘要）的请求，正确的过滤器将拾取它。对于匿名请求，摘要入口点将启动，并且将提示客户端输入摘要凭据。