此版本仍在开发中，尚未被视为稳定版本。对于最新的稳定版本，请使用 Spring Security 6.4.3！spring-doc.cadn.net.cn

匿名身份验证

概述

通常认为采用“默认拒绝”是一种良好的安全实践，其中您明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容也是一种类似的情况，尤其是对于 Web 应用程序。许多网站要求用户必须对除少数 URL 以外的任何内容（例如主页和登录页面）进行身份验证。在这种情况下，最简单的方法是为这些特定 URL 定义访问配置属性，而不是为每个受保护的资源定义访问配置属性。换句话说，有时说起来很好ROLE_SOMETHING默认情况下是必需的，并且仅允许此规则的某些例外，例如应用程序的登录、注销和主页。您也可以从过滤器链中完全省略这些页面，从而绕过访问控制检查，但这可能是由于其他原因而不希望的，特别是当这些页面对经过身份验证的用户的行为不同时。spring-doc.cadn.net.cn

这就是我们所说的匿名身份验证。请注意，“匿名身份验证”的用户和未经身份验证的用户之间在概念上没有真正的区别。 Spring Security 的匿名身份验证只是为您提供了一种更方便的方式来配置访问控制属性。对 servlet API 的调用，例如getCallerPrincipal，即使SecurityContextHolder.spring-doc.cadn.net.cn

在其他情况下，匿名身份验证也很有用，例如，当审计侦听器查询SecurityContextHolder确定哪个主体负责给定作。如果类知道SecurityContextHolder始终包含一个Authenticationobject 和 nevernull.spring-doc.cadn.net.cn

配置

使用 HTTP 配置 Spring Security 3.0 时，会自动提供匿名身份验证支持，并且可以使用<anonymous>元素。除非您使用传统的 bean 配置，否则您不需要配置此处描述的 bean。spring-doc.cadn.net.cn

三个类共同提供匿名身份验证功能。AnonymousAuthenticationToken是Authentication，并将GrantedAuthoritys 应用于匿名主体。有一个对应的AnonymousAuthenticationProvider，它被链接到ProviderManager因此AnonymousAuthenticationToken接受。最后，有一个AnonymousAuthenticationFilter，它被链接在正常的身份验证机制之后，并自动添加AnonymousAuthenticationToken到SecurityContextHolder如果没有Authentication被关押在那里。筛选器和身份验证提供程序的定义如下所示：spring-doc.cadn.net.cn

<bean id="anonymousAuthFilter"
	class="org.springframework.security.web.authentication.AnonymousAuthenticationFilter">
<property name="key" value="foobar"/>
<property name="userAttribute" value="anonymousUser,ROLE_ANONYMOUS"/>
</bean>

<bean id="anonymousAuthenticationProvider"
	class="org.springframework.security.authentication.AnonymousAuthenticationProvider">
<property name="key" value="foobar"/>
</bean>

这key在筛选器和身份验证提供程序之间共享，以便后者接受前者创建的令牌^[1]. 这userAttribute以usernameInTheAuthenticationToken,grantedAuthority[,grantedAuthority]. 这与userMap的属性InMemoryDaoImpl.spring-doc.cadn.net.cn

如前所述，匿名身份验证的好处是所有 URI 模式都可以应用安全性。例如：spring-doc.cadn.net.cn

<bean id="filterSecurityInterceptor"
	class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>
<property name="securityMetadata">
	<security:filter-security-metadata-source>
	<security:intercept-url pattern='/index.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
	<security:intercept-url pattern='/hello.htm' access='ROLE_ANONYMOUS,ROLE_USER'/>
	<security:intercept-url pattern='/logoff.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
	<security:intercept-url pattern='/login.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
	<security:intercept-url pattern='/**' access='ROLE_USER'/>
	</security:filter-security-metadata-source>" +
</property>
</bean>

AuthenticationTrustResolver 认证

匿名身份验证讨论的圆满结束是AuthenticationTrustResolverinterface 及其相应的AuthenticationTrustResolverImpl实现。此接口提供了一个isAnonymous(Authentication)方法，它允许感兴趣的类考虑这种特殊类型的身份验证状态。这ExceptionTranslationFilter在处理过程中使用此接口AccessDeniedExceptions. 如果AccessDeniedException，并且身份验证是匿名类型的，而不是引发 403（禁止）响应，而是开始AuthenticationEntryPoint，以便 Principal 可以正确进行身份验证。这是一个必要的区别，否则 principals 将始终被视为 “authenticated”，并且永远不会有机会通过 form、basic、digest 或其他一些正常的身份验证机制登录。spring-doc.cadn.net.cn

您经常会看到ROLE_ANONYMOUS属性替换为IS_AUTHENTICATED_ANONYMOUSLY，这在定义访问控制时实际上是相同的。这是使用AuthenticatedVoter我们将在 Authorization 章节中看到。它使用AuthenticationTrustResolver以处理此特定配置属性并向匿名用户授予访问权限。这AuthenticatedVoter方法更强大，因为它允许您区分匿名用户、记住我用户和完全身份验证的用户。不过，如果您不需要此功能，那么您可以坚持使用ROLE_ANONYMOUS，它将由 Spring Security 的标准RoleVoter.spring-doc.cadn.net.cn

使用 Spring MVC 获取匿名身份验证

Spring MVC 解析Principal使用自己的参数解析器。spring-doc.cadn.net.cn

这意味着，像这样的结构：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@GetMapping("/")
public String method(Authentication authentication) {
	if (authentication instanceof AnonymousAuthenticationToken) {
		return "anonymous";
	} else {
		return "not anonymous";
	}
}

@GetMapping("/")
fun method(authentication: Authentication?): String {
    return if (authentication is AnonymousAuthenticationToken) {
        "anonymous"
    } else {
        "not anonymous"
    }
}

将始终返回 “not anonymous”，即使对于匿名请求也是如此。原因是 Spring MVC 使用HttpServletRequest#getPrincipal，即null当请求是匿名的时。spring-doc.cadn.net.cn

如果您想获取Authentication在匿名请求中，使用@CurrentSecurityContext相反：spring-doc.cadn.net.cn

将 CurrentSecurityContext 用于匿名请求

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@GetMapping("/")
public String method(@CurrentSecurityContext SecurityContext context) {
	return context.getAuthentication().getName();
}

@GetMapping("/")
fun method(@CurrentSecurityContext context : SecurityContext) : String =
		context!!.authentication!!.name

1. 使用key财产不应被视为在这里提供任何真正的安全保障。这只是一个记账练习。如果您共享ProviderManager其中包含一个AnonymousAuthenticationProvider在身份验证客户端可以构造Authentication对象（例如使用 RMI 调用），则恶意客户端可以提交AnonymousAuthenticationToken这是它自己创建的（带有选择的用户名和权限列表）。如果key是可猜测的或可以查出的，则匿名提供商将接受该令牌。这在正常使用中不是问题，但如果您使用的是 RMI，则最好使用自定义的ProviderManager，这将省略匿名提供程序，而不是共享用于 HTTP 身份验证机制的提供程序。