Spring Security. Как реализовать BaseAuth аутентификацию без появления нативного окна браузера?

Question

[hudrogen]

Реализую безопасность в Java REST сервисе при помощи Spring Security.
Имею файл spring-security.xml с конфигурацией:

<b:beans xmlns=""http://www.springframework.org/schema/security"
                          ...прочие схемы
   <http use-expressions="true">
      <csrf disables="true"/>
      <intercept-url pattern="/**" access="isAuthenticated()"/>
    <http-basic/>
  </http>

<!-- Здесь ссылка на аутентикейшн провайдер-->
</b:beans>

При таком способе, при обращении к урлу реста, появляется нативное всплывающее окно браузера с предложением ввести логин/пароль. Стоит задача сдружить такой бэк с фронтом. Реально ли это сделать используя текущую конфигурацию spring-security? Или можно сконфигурировать spring-security так, чтобы это нативное окно не появлялось?

Answer 1

[Алексей П]

При запросе с фронтенда вам нужно передавать Header "Authorization: Basic token", где token = user:password в Base64. Сгенерировать токен можно такой командой:
echo -n "user:password" | base64
Далее, запрос с помощью curl:

curl -i -H 'Authorization: Basic dXNlcjpwYXNzd29yZA==' http://localhost:8080/

Comments

[hudrogen]

Как быть в таком случае:
На фронте есть страница авторизации на котором пользователь вводит логин/пароль -> нажимает Войти.
Далее отправляется запрос на бэк со сформированным заголовком, и если логин/пароль не корректный, то появится нативное окно, а его не перехватить на фронте.

[Алексей П]

hudrogen, нужно установить заголовок X-Requested-With: XMLHttpRequest

[hudrogen]

В моем случае запрос будет выглядеть так

fetch('URL_GOES_HERE', { 
   method: 'post', 
   headers: {
     'Authorization': 'Basic '+btoa('username:password')
   }
 });

Answer 2

[SergiiSl]

чтоб окно не появлялось, можно на стороне бэка убрать http-basic и использовать аутентификацию формой...а если только на стороне фронта, то с каждым запросом нужно разрешить передавать учетные данные(заголовок , куки)

fetch('https://example.com', {
  credentials: 'include'  
})