1. 前言

又是新的一周，博主繼續(xù)來(lái)給大家更新 Spring Security 實(shí)戰(zhàn)教程了，在上一個(gè)章節(jié)中我們?cè)敿?xì)介紹了 Spring Security 的底層原理，本章節(jié)博主將帶著大家介紹如何在 Spring Security 中實(shí)現(xiàn)基于內(nèi)存的用戶認(rèn)證。

雖然 Spring Security 基于內(nèi)存的用戶認(rèn)證，實(shí)際開(kāi)發(fā)來(lái)說(shuō)相對(duì)來(lái)說(shuō)用的比較少，但某些場(chǎng)景下（如：開(kāi)發(fā)階段、原型驗(yàn)證、演示環(huán)境搭建、單元測(cè)試/集成測(cè)試、或甚至不需要數(shù)據(jù)庫(kù)的簡(jiǎn)單系統(tǒng)），基于內(nèi)存的用戶認(rèn)證方式就足以滿足需求，為了應(yīng)對(duì)這樣需求，博主覺(jué)得還是要必要聊一聊基于內(nèi)存的用戶認(rèn)證。

2. 因何選擇內(nèi)存認(rèn)證？

就如前面說(shuō)的場(chǎng)景，總結(jié)內(nèi)存認(rèn)證主要有以下幾個(gè)優(yōu)點(diǎn)：

• 簡(jiǎn)單快捷：配置簡(jiǎn)單，不需要依賴數(shù)據(jù)庫(kù)或外部存儲(chǔ)，適用于快速構(gòu)建和測(cè)試。
• 易于調(diào)試：所有用戶信息存儲(chǔ)在代碼中，方便開(kāi)發(fā)過(guò)程中快速定位問(wèn)題。
• 適用于小型應(yīng)用：對(duì)于用戶數(shù)量較少的應(yīng)用或者臨時(shí)驗(yàn)證原型，內(nèi)存認(rèn)證是個(gè)不錯(cuò)的選擇

當(dāng)然，內(nèi)存認(rèn)證也有局限性：用戶數(shù)據(jù)不持久化、無(wú)法擴(kuò)展到分布式系統(tǒng)等。因此，在生產(chǎn)環(huán)境中，通常會(huì)采用基于數(shù)據(jù)庫(kù)或其他外部認(rèn)證機(jī)制的方式。

與數(shù)據(jù)庫(kù)認(rèn)證對(duì)比

3. 基礎(chǔ)配置實(shí)戰(zhàn)

接下來(lái)在之前的Maven項(xiàng)目中還是創(chuàng)建第三個(gè)子模塊 memory-spring-security ，完整的maven項(xiàng)目結(jié)構(gòu)如下：

? 創(chuàng)建Spring Security配置文件

現(xiàn)在我們來(lái)創(chuàng)建一個(gè)Spring Security 配置文件 InMemorySecurityConfig

@Configuration
public class InMemorySecurityConfig {
    // 手動(dòng)配置用戶信息
    @Bean
    public UserDetailsService users() {
        UserDetails user = User.withUsername("user")
                .password("{noop}user") // {noop}表示不加密
                .roles("USER")
                .build();
        UserDetails admin = User.withUsername("admin")
                .password("{noop}admin")
                .roles("ADMIN")
                .build();
		//可以繼續(xù)追加其它用戶...
        UserDetails anonymous = User.withUsername("anonymous")
                .password("{noop}anonymous")
                .roles("ANONYMOUS")
                .build();
        return new InMemoryUserDetailsManager(user, admin, anonymous);
    }
    // 配置安全策略 并配置/admin/** 只允許ADMIN角色用戶訪問(wèn)
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.
                authorizeHttpRequests(authorize -> authorize
                        .requestMatchers("/admin/**").hasRole("ADMIN")
                        .anyRequest().authenticated()
                )
                .formLogin(withDefaults())
                .logout(withDefaults())
        ;
        return http.build();
    }
}

配置說(shuō)明

• 構(gòu)建UserDetailsService
  創(chuàng)建兩個(gè)用戶信息分別是：admin、user ，并由InMemoryUserDetailsManager進(jìn)行在內(nèi)存中保存用戶數(shù)據(jù)
• SecurityFilterChain
  在SecurityFilterChain中，默認(rèn)采用了Spring Security表單登陸登出方式，并配置/admin/**請(qǐng)求路徑下需要管理員角色方可訪問(wèn)

? 創(chuàng)建Controller測(cè)試

接下來(lái)我們創(chuàng)建用以測(cè)試的Controller ：DemoMemoryController

@Controller
public class DemoMemoryController {
    //返回用戶信息及角色權(quán)限
    @GetMapping("/")
    public ResponseEntity<Map<String, Object>> index(Authentication authentication) {
        String username = authentication.getName();//用戶名
        Object principal =authentication.getPrincipal();//身份
        // 獲取用戶擁有的權(quán)限列表
        List<String> roles = authentication.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toList());
        //返回用戶信息
        return ResponseEntity.ok(Map.of(
                "username", username,
                "principal", principal,
                "roles", roles));
    }
	//測(cè)試管理員權(quán)限
    @GetMapping("/admin/view")
    public ResponseEntity<String> admin() {
        return ResponseEntity.ok("管理員ADMIN角色訪問(wèn)ok");
    }
}

代碼說(shuō)明

• 注入 Authentication 對(duì)象
  在 index 方法中，通過(guò)方法參數(shù)直接注入 Authentication 對(duì)象，Spring Security 會(huì)自動(dòng)傳入當(dāng)前認(rèn)證信息。
• 提取用戶信息
  通過(guò) authentication.getName() 獲取當(dāng)前登錄用戶的用戶名；通過(guò) authentication.getAuthorities() 獲取用戶的權(quán)限列表，并將每個(gè)權(quán)限的 getAuthority() 值收集成一個(gè)字符串列表。

? 運(yùn)行測(cè)試

啟動(dòng)項(xiàng)目訪問(wèn)，登陸頁(yè)中分別測(cè)試兩個(gè)用戶登陸查看信息，如user用戶：

接下來(lái)嘗試使用user用戶訪問(wèn) /admin/view 路徑，會(huì)出現(xiàn) 403 訪問(wèn)錯(cuò)誤提示：即您無(wú)權(quán)訪問(wèn)此地址

切換admin用戶登陸，繼續(xù)訪問(wèn) /admin/view 路徑，出現(xiàn) 管理員ADMIN角色訪問(wèn)ok 文字顯示即代表管理員角色允許訪問(wèn)

4. 追加密碼編碼器

在上述代碼中，我們使用了 password(“{noop}admin”) 聲明了密碼明文存儲(chǔ)，如果我們需要對(duì)密碼加密，如何操作？ 實(shí)際上 Spring Security 為我們提供了非常方便的密碼編碼器

密碼編碼器配置
只需要?jiǎng)?chuàng)建 PasswordEncoder Bean，并返回加密類型，如下代碼樣例：

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}
@Bean
public UserDetailsService users(PasswordEncoder encoder) {
    UserDetails user = User.builder()
            .username("user")
            .password(encoder.encode("secret"))
            .roles("USER")
            .build();
    return new InMemoryUserDetailsManager(user);
}

支持的編碼格式：

# 不同前綴對(duì)應(yīng)不同編碼器
{noop} → NoOpPasswordEncoder (明文)
{bcrypt} → BCryptPasswordEncoder
{pbkdf2} → Pbkdf2PasswordEncoder
{scrypt} → SCryptPasswordEncoder
{sha256} → StandardPasswordEncoder

5. 總結(jié)

通過(guò)本章節(jié)的配置示例，相信你已經(jīng)可以使用 Spring Security 的基于內(nèi)存認(rèn)證方式來(lái)快速搭建安全認(rèn)證體系。

注意章節(jié)中提到的基于內(nèi)存的用戶認(rèn)證適用的場(chǎng)景，更多情況下還是建議使用 更為健全的認(rèn)證方式，如 基于數(shù)據(jù)庫(kù)的認(rèn)證、JWT 令牌認(rèn)證或 OAuth2，在下一章節(jié)我們將重點(diǎn)講述數(shù)據(jù)庫(kù)的認(rèn)證，敬請(qǐng)期待…

到此這篇關(guān)于最新Spring Security的基于內(nèi)存用戶認(rèn)證方式的文章就介紹到這了,更多相關(guān)Spring Security內(nèi)存用戶認(rèn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論