红帽全球峰会基本身份验证(Basic authentication)
摘要
提供有关红帽构建的 Quarkus 文档的反馈
要报告错误或改进文档,请登录到 Red Hat JIRA 帐户并提交问题。如果您没有 Red Hat Jira 帐户,则会提示您创建一个帐户。
流程
- 单击以下链接 以创建 ticket。
- 在 Summary 中输入问题的简短描述。
- 在 Description 中提供问题或功能增强的详细描述。包括一个指向文档中问题的 URL。
- 点 Submit 创建问题,并将问题路由到适当的文档团队。
使开源包含更多
红帽致力于替换我们的代码、文档和 Web 属性中有问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息。
第 1 章 基本身份验证(Basic authentication)
HTTP 基本身份验证是强制实施对 Web 资源的访问控制的最少资源需求技术之一。您可以使用 HTTP 基本身份验证保护 Quarkus 应用程序端点。Quarkus 包含用于基本身份验证的内置身份验证机制。
基本身份验证使用 HTTP 标头中的字段,不依赖于 HTTP cookie、会话标识符或登录页面。
1.1. 授权标头
HTTP 用户代理(如 Web 浏览器)使用 Authorization 标头在各个 HTTP 请求中提供用户名和密码。标头指定为 Authorization: Basic <credentials& gt;,其中凭证是用户 ID 和密码的 Base64 编码,由冒号加。
Example:
如果用户名是 alice,且密码是 secret,HTTP 授权标头将是 Authorization: Basic QWxjZTpzZWNyZXQ=,其中 QWxjZTpzZWNyZXQ= 是 alice :secret 字符串的 Base64 编码表示。
基本身份验证机制不会为传输的凭据提供保密性保护。当传输时,凭证会使用 Base64 进行编码,而不是以任何方式加密或哈希。因此,为了提供保密性,请将基本身份验证与 HTTPS 一起使用。
基本身份验证是所有 Web 浏览器和大多数 Web 服务器理解的良好、简单挑战和响应方案。
1.2. 使用基本身份验证的限制
下表概述了使用 HTTP 基本身份验证来保护 Quarkus 应用程序的一些限制:
| 限制 | 描述 |
|---|---|
| 凭证以纯文本形式发送 | 使用带有基本身份验证的 HTTPS 以避免公开凭据。如果负载均衡器终止 HTTPS,因为请求通过 HTTP 转发到 Quarkus,则以纯文本形式公开凭证的风险会增加。另外,在多跃点部署中,如果在客户端和第一个 Quarkus 端点之间使用 HTTPS,并且凭证通过 HTTP 传播到下一个 Quarkus 端点,则凭证可以被公开。 |
| 凭证会随每个请求发送 | 在基本身份验证中,必须为每个请求发送用户名和密码,从而增加公开凭据的风险。 |
| 应用程序复杂性会增加 | Quarkus 应用程序必须验证用户名、密码和角色是否被安全地管理。但是,这个过程可能会给应用程序带来显著的复杂性。根据用例,将用户名、密码和角色管理委派给特殊服务的其他身份验证机制可能更为安全。 |
1.3. 在 Quarkus 中实施基本身份验证
有关如何使用基本身份验证保护 Quarkus 应用程序的更多信息,请参阅以下资源:
1.4. 基于角色的访问控制
红帽构建的 Quarkus 还包括内置的安全性,允许基于通用安全注解 @RolesAllowed、@DenyAll、@PermitAll on REST 端点和 CDI Bean 的基于角色的访问控制(RBAC)。如需更多信息,请参阅 Web 端点指南的 Quarkus 授权 指南。
1.5. 参考
第 2 章 启用基本身份验证
为您的 Quarkus 项目启用 基本身份验证,并允许用户使用用户名和密码进行身份验证。
2.1. 先决条件
您至少安装了一个扩展,它根据用户名和密码提供
IdentityProvider。例如:
以下流程概述了如何使用 elytron-security-properties-file 扩展为应用程序启用基本身份验证。
2.2. 流程
在
application.properties文件中,将quarkus.http.auth.basic属性设置为true。quarkus.http.auth.basic=true
quarkus.http.auth.basic=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 可选: 在一个非生产环境中,且纯用于在应用程序中测试 Quarkus 安全性:
要为嵌入式域启用身份验证,请将
quarkus.security.users.embedded.enabled属性设置为true。security.users.embedded.enabled=true
security.users.embedded.enabled=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 您还可以配置所需的用户凭证、用户名、secret 和角色。例如:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 有关您可以配置所需用户凭证的其他方法的详情,请参考 Quarkus "安全测试"指南中的 配置用户信息 部分。
重要在
application.properties文件中配置用户名、secret 和角色仅适用于测试场景。对于保护生产应用的安全,使用数据库存储此信息至关重要。
2.3. 后续步骤
如需了解如何配置基本身份验证和 Jakarta Persistence (使用基本身份验证和 Jakarta Persistence)中存储用户凭证的信息,请参阅 使用基本身份验证和 Jakarta Persistence 指南来配置基本身份验证。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}