最新Spring Security实战教程(四)基于内存的用户认证
🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志
🎐 个人CSND主页——Micro麦可乐的博客
🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战
🌺《RabbitMQ》专栏主要介绍使用JAVA开发RabbitMQ的系列教程,从基础知识到项目实战
🌸《设计模式》专栏以实际的生活场景为案例进行讲解,让大家对设计模式有一个更清晰的理解
💕《Jenkins实战》专栏主要介绍Jenkins+Docker的实战教程,让你快速掌握项目CI/CD,是2024年最新的实战教程
🌞《Spring Boot》专栏主要介绍我们日常工作项目中经常应用到的功能以及技巧,代码样例完整
🌞《Spring Security》专栏中我们将逐步深入Spring Security的各个技术细节,带你从入门到精通,全面掌握这一安全技术
如果文章能够给大家带来一定的帮助!欢迎关注、评论互动~
最新Spring Security实战教程(四)基于内存的用户认证 - UserDetailsService实战开发
回顾链接:
最新Spring Security实战教程(一)初识Spring Security安全框架
最新Spring Security实战教程(二)表单登录定制到处理逻辑的深度改造
最新Spring Security实战教程(三)Spring Security 的底层原理解析
1. 前言
又是新的一周,博主继续来给大家更新 Spring Security 实战教程了,在上一个章节中我们详细介绍了 Spring Security 的底层原理,本章节博主将带着大家介绍如何在 Spring Security 中实现基于内存的用户认证。
虽然 Spring Security 基于内存的用户认证,实际开发来说相对来说用的比较少,但某些场景下(如:开发阶段、原型验证、演示环境搭建、单元测试/集成测试、或甚至不需要数据库的简单系统),基于内存的用户认证方式就足以满足需求,为了应对这样需求,博主觉得还是要必要聊一聊基于内存的用户认证。
2. 因何选择内存认证?
就如前面说的场景,总结内存认证主要有以下几个优点:
- 简单快捷:配置简单,不需要依赖数据库或外部存储,适用于快速构建和测试。
- 易于调试:所有用户信息存储在代码中,方便开发过程中快速定位问题。
- 适用于小型应用:对于用户数量较少的应用或者临时验证原型,内存认证是个不错的选择
当然,内存认证也有局限性:用户数据不持久化、无法扩展到分布式系统等。因此,在生产环境中,通常会采用基于数据库或其他外部认证机制的方式。
与数据库认证对比
| 特性 | 内存认证 | 数据库认证 |
|---|---|---|
| 用户存储位置 | 应用内存 | 持久化存储 |
| 用户管理灵活性 | 配置硬编码 | 动态增删改查 |
| 生产环境适用性 | 不推荐 | 推荐 |
3. 基础配置实战
接下来在之前的Maven项目中还是创建第三个子模块 memory-spring-security ,完整的maven项目结构如下:
❶ 创建Spring Security配置文件
现在我们来创建一个Spring Security 配置文件InMemorySecurityConfig
@ConfigurationpublicclassInMemorySecurityConfig{// 手动配置用户信息@BeanpublicUserDetailsServiceusers(){UserDetails user =User.withUsername("user").password("{noop}user")// {noop}表示不加密.roles("USER").build();UserDetails admin =User.withUsername("admin").password("{noop}admin").roles("ADMIN").build();//可以继续追加其它用户...UserDetails anonymous =User.withUsername("anonymous").password("{noop}anonymous").roles("ANONYMOUS").build();returnnewInMemoryUserDetailsManager(user, admin, anonymous);}// 配置安全策略 并配置/admin/** 只允许ADMIN角色用户访问@BeanpublicSecurityFilterChainfilterChain(HttpSecurity http)throwsException{ http.authorizeHttpRequests(authorize -> authorize .requestMatchers("/admin/**").hasRole("ADMIN").anyRequest().authenticated()).formLogin(withDefaults()).logout(withDefaults());return http.build();}}配置说明
构建UserDetailsService
创建两个用户信息分别是:admin、user ,并由InMemoryUserDetailsManager进行在内存中保存用户数据SecurityFilterChain
在SecurityFilterChain中,默认采用了Spring Security表单登陆登出方式,并配置/admin/**请求路径下需要管理员角色方可访问
❷ 创建Controller测试
接下来我们创建用以测试的Controller :DemoMemoryController
@ControllerpublicclassDemoMemoryController{//返回用户信息及角色权限@GetMapping("/")publicResponseEntity<Map<String,Object>>index(Authentication authentication){String username = authentication.getName();//用户名Object principal =authentication.getPrincipal();//身份// 获取用户拥有的权限列表List<String> roles = authentication.getAuthorities().stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());//返回用户信息returnResponseEntity.ok(Map.of("username", username,"principal", principal,"roles", roles));}//测试管理员权限@GetMapping("/admin/view")publicResponseEntity<String>admin(){returnResponseEntity.ok("管理员ADMIN角色访问ok");}}代码说明
注入 Authentication 对象
在index方法中,通过方法参数直接注入Authentication对象,Spring Security会自动传入当前认证信息。提取用户信息
通过authentication.getName()获取当前登录用户的用户名;通过authentication.getAuthorities()获取用户的权限列表,并将每个权限的 getAuthority() 值收集成一个字符串列表。
❸ 运行测试
启动项目访问,登陆页中分别测试两个用户登陆查看信息,如user用户:
接下来尝试使用user用户访问 /admin/view 路径,会出现403访问错误提示:即您无权访问此地址
切换admin用户登陆,继续访问 /admin/view 路径,出现管理员ADMIN角色访问ok文字显示即代表管理员角色允许访问
4. 追加密码编码器
在上述代码中,我们使用了 password(“{noop}admin”) 声明了密码明文存储,如果我们需要对密码加密,如何操作? 实际上 Spring Security 为我们提供了非常方便的密码编码器
密码编码器配置
只需要创建 PasswordEncoder Bean,并返回加密类型,如下代码样例:
@BeanpublicPasswordEncoderpasswordEncoder(){returnnewBCryptPasswordEncoder();}@BeanpublicUserDetailsServiceusers(PasswordEncoder encoder){UserDetails user =User.builder().username("user").password(encoder.encode("secret")).roles("USER").build();returnnewInMemoryUserDetailsManager(user);}支持的编码格式:
# 不同前缀对应不同编码器{noop} → NoOpPasswordEncoder (明文){bcrypt} → BCryptPasswordEncoder {pbkdf2} → Pbkdf2PasswordEncoder {scrypt} → SCryptPasswordEncoder {sha256} → StandardPasswordEncoder 5. 总结
通过本章节的配置示例,相信你已经可以使用 Spring Security 的基于内存认证方式来快速搭建安全认证体系。
注意章节中提到的基于内存的用户认证适用的场景,更多情况下还是建议使用更为健全的认证方式,如基于数据库的认证、JWT 令牌认证或 OAuth2,在下一章节我们将重点讲述数据库的认证,敬请期待…
如果本本章内容对您有所帮助,希望一键三连给博主一点点鼓励,如果您有任何疑问或建议,请随时留言讨论!
下一章节:最新Spring Security实战教程(五)基于数据库的动态认证 - UserDetailsService实战开发
