本文深入探讨了spring Security中使用`InMemoryUserDetailsManager`进行基本认证时，因默认会话管理策略导致的“首次认证后接受任意密码”问题。通过分析Spring Security的会话机制，明确了问题的根源在于认证信息被存储在http会话中。核心解决方案是配置`SessionCreationPolicy.STATELESS`，以禁用会话创建和存储，确保每次请求都进行完整认证，从而实现预期的安全行为。

理解Spring Security的认证流程与会话管理

在使用Spring Security进行认证时，尤其是在配置了基于内存的用户存储（如InMemoryUserDetailsManager）和HTTP Basic认证的场景下，开发者可能会遇到一个令人困惑的现象：在用户首次成功认证后，即使后续请求携带了错误的密码，系统似乎仍然接受并允许访问。这并非Spring Security的缺陷，而是其默认会话管理策略的体现。

Spring Security在设计之初，考虑了传统Web应用对有状态会话的需求。当用户通过HTTP Basic认证成功后，Spring Security会默认创建一个httpsession，并将认证成功的Authentication对象存储在SecurityContextHolder中。此SecurityContextHolder通常与当前线程绑定，并且其内容可以在后续请求中从会话中加载。这意味着，一旦一个会话被建立且认证成功，后续来自同一会话的请求将不再需要重新进行用户名密码验证，而是直接从会话中获取认证信息。

因此，当出现“首次认证后接受任意密码”的现象时，实际情况是：

1. 首次请求：用户使用正确的用户名和密码进行HTTP Basic认证。
2. 认证成功：Spring Security验证凭据无误，创建一个HttpSession，并将认证信息（如Authentication对象）存入其中。
3. 后续请求：即使请求头中的密码被修改为错误值，但只要该请求仍然携带了有效的会话ID（通常通过Cookie），Spring Security会优先从已建立的会话中加载认证信息，而不是重新验证用户名和密码。由于会话中已存在一个有效的认证上下文，请求便被视为已认证，从而绕过了对错误密码的检查。只有当会话过期、被销毁或客户端不发送会话ID时，系统才会强制重新认证。

解决策略：配置无状态会话管理

要解决上述问题，并确保每次请求都严格按照提供的凭据进行认证，最直接且推荐的方法是配置Spring Security使用无状态（Stateless）会话管理策略。通过将SessionCreationPolicy设置为STATELESS，可以明确指示Spring Security不创建或使用HTTP会话来存储认证信息。

当SessionCreationPolicy.STATELESS被激活时，Spring Security的行为会发生根本性改变：

• 无会话创建：Spring Security将不会为任何请求创建HttpSession。
• 无会话存储：即使认证成功，认证信息也不会被存储在任何会话中。
• 强制认证：对于每个进入的请求，如果需要认证，Spring Security都会尝试从请求本身（例如HTTP Basic头部）获取凭据并进行验证。这确保了每次请求都是独立的，不会受到之前会话状态的影响。

这对于restful API、微服务架构或任何希望实现无状态通信的场景至关重要，因为它允许客户端完全控制认证凭据的发送，并使得服务端不保留任何客户端状态。

乾坤圈新媒体矩阵管家

新媒体账号、门店矩阵智能管理系统

17

查看详情

示例配置与代码实现

为了在Spring Security中实现无状态会话管理，您需要在WebSecurityConfig类的configure(HttpSecurity http)方法中添加一行配置。

以下是修改后的Spring Security配置示例：

import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.http.SessionCreationPolicy; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.provisioning.InMemoryUserDetailsManager;  import Java.util.ArrayList; import java.util.List;  @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter {    @Override   protected void configure(HttpSecurity http) throws Exception {     http         .csrf()         .disable() // 禁用CSRF保护，对于无状态API通常是安全的         .authorizeRequests()         .anyRequest()         .authenticated() // 所有请求都需要认证         .and()         .httpBasic() // 启用HTTP Basic认证         .and()         .sessionManagement() // 配置会话管理         .sessionCreationPolicy(SessionCreationPolicy.STATELESS); // 设置为无状态会话策略   }    @Override   protected void configure(AuthenticationManagerBuilder auth) throws Exception {     auth.userDetailsService(inMemoryUserDetailsManager());   }    @Bean   public InMemoryUserDetailsManager inMemoryUserDetailsManager() {     List<UserDetails> userDetailsList = new ArrayList<>();     // 确保密码经过编码     userDetailsList.add(User.withUsername("myUser").password(passwordEncoder().encode("password"))         .roles("USER").build());      return new InMemoryUserDetailsManager(userDetailsList);   }    @Bean   public PasswordEncoder passwordEncoder() {     return new BCryptPasswordEncoder(); // 使用BCryptPasswordEncoder进行密码编码   } }

在上述代码中，关键的改变是添加了以下链式调用：

.sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

这行配置指示Spring Security在处理请求时，不创建或使用任何HTTP会话。因此，每次请求都会被视为一个独立的认证尝试。如果客户端在后续请求中发送了错误的密码，即使用户名正确，认证也将失败并返回401 Unauthorized响应，这符合我们对安全行为的预期。

注意事项与适用场景

• HTTP Basic认证的局限性：HTTP Basic认证每次请求都会在HTTP头中明文（Base64编码，但并非加密）发送用户名和密码。在生产环境中，务必配合HTTPS/ssl/TLS使用，以防止凭据被截获。
• 适用场景：SessionCreationPolicy.STATELESS特别适用于：
  • RESTful API：API通常设计为无状态，客户端每次请求都应携带所有必要的信息（包括认证凭据）。
  • 微服务架构：服务之间通常通过无状态的机制进行通信。
  • 基于令牌的认证：例如JWT (JSON Web Token)，令牌本身包含了认证信息，服务端无需维护会话状态。
• 与有状态应用的对比：对于传统的web应用程序，如果需要维护用户登录状态、购物车信息等，通常会使用默认的SessionCreationPolicy.IF_REQUIRED或ALWAYS，以便利用HttpSession来存储状态。选择合适的会话策略取决于您的应用程序架构和需求。

总结

通过理解Spring Security默认的会话管理机制，并根据应用程序的需求选择合适的SessionCreationPolicy，可以有效解决认证行为中的潜在混淆。对于要求每次请求独立认证的场景，尤其是RESTful API和基于令牌的认证，将SessionCreationPolicy设置为STATELESS是确保安全性和预期行为的关键。这不仅能够防止因会话缓存导致的错误密码被接受的问题，还能简化服务器端的状态管理，提升系统的可伸缩性。