Spring Boot整合Spring Security(七)基于内存的用户认证

最新推荐文章于 2025-03-22 01:09:39 发布
最新推荐文章于 2025-03-22 01:09:39 发布
阅读量913 收藏
点赞数
分类专栏: # Spring Security demo 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq3031195374/article/details/128949417
版权
文章介绍了SpringSecurity6.0中InMemoryUserDetailsManager的使用,它是一个内存中的用户详情管理器,用于存储和管理用户的认证信息。通过HashMap存储用户数据,并提供了创建、更新、删除用户以及修改密码的方法。配置示例展示了如何在项目启动时创建初始用户。文章还提到了SpringSecurity官方文档推荐的UserDetails创建方式,并给出了使用BCrypt加密密码的例子。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

阅前提示

此文章基于Spring Security 6.0

UserDetailsService

在之前的认证流程篇章中已经介绍到,DaoAuthenticationProvider使用了一个UserDetailsService去接收username,password以及一些其他的属性去做认证。然后Spring Security提供了in-memory内存 and JDBC 数据库 implementations of UserDetailsService。本篇章讲讲基于内存的UserDetails管理

InMemoryUserDetailsManager

public class InMemoryUserDetailsManager implements UserDetailsManager, UserDetailsPasswordService {

	protected final Log logger = LogFactory.getLog(getClass());

	private final Map<String, MutableUserDetails> users = new HashMap<>();

	private SecurityContextHolderStrategy securityContextHolderStrategy = SecurityContextHolder
			.getContextHolderStrategy();

	private AuthenticationManager authenticationManager;

	public InMemoryUserDetailsManager() {
	}

	public InMemoryUserDetailsManager(Collection<UserDetails> users) {
		for (UserDetails user : users) {
			createUser(user);
		}
	}

	public InMemoryUserDetailsManager(UserDetails... users) {
		for (UserDetails user : users) {
			createUser(user);
		}
	}

	public InMemoryUserDetailsManager(Properties users) {
		Enumeration<?> names = users.propertyNames();
		UserAttributeEditor editor = new UserAttributeEditor();
		while (names.hasMoreElements()) {
			String name = (String) names.nextElement();
			editor.setAsText(users.getProperty(name));
			UserAttribute attr = (UserAttribute) editor.getValue();
			Assert.notNull(attr,
					() -> "The entry with username '" + name + "' could not be converted to an UserDetails");
			createUser(createUserDetails(name, attr));
		}
	}

	private User createUserDetails(String name, UserAttribute attr) {
		return new User(name, attr.getPassword(), attr.isEnabled(), true, true, true, attr.getAuthorities());
	}

	@Override
	public void createUser(UserDetails user) {
		Assert.isTrue(!userExists(user.getUsername()), "user should not exist");
		this.users.put(user.getUsername().toLowerCase(), new MutableUser(user));
	}

	@Override
	public void deleteUser(String username) {
		this.users.remove(username.toLowerCase());
	}

	@Override
	public void updateUser(UserDetails user) {
		Assert.isTrue(userExists(user.getUsername()), "user should exist");
		this.users.put(user.getUsername().toLowerCase(), new MutableUser(user));
	}

	@Override
	public boolean userExists(String username) {
		return this.users.containsKey(username.toLowerCase());
	}

	@Override
	public void changePassword(String oldPassword, String newPassword) {
		Authentication currentUser = this.securityContextHolderStrategy.getContext().getAuthentication();
		if (currentUser == null) {
			// This would indicate bad coding somewhere
			throw new AccessDeniedException(
					"Can't change password as no Authentication object found in context " + "for current user.");
		}
		String username = currentUser.getName();
		this.logger.debug(LogMessage.format("Changing password for user '%s'", username));
		// If an authentication manager has been set, re-authenticate the user with the
		// supplied password.
		if (this.authenticationManager != null) {
			this.logger.debug(LogMessage.format("Reauthenticating user '%s' for password change request.", username));
			this.authenticationManager
					.authenticate(UsernamePasswordAuthenticationToken.unauthenticated(username, oldPassword));
		}
		else {
			this.logger.debug("No authentication manager set. Password won't be re-checked.");
		}
		MutableUserDetails user = this.users.get(username);
		Assert.state(user != null, "Current user doesn't exist in database.");
		user.setPassword(newPassword);
	}

	@Override
	public UserDetails updatePassword(UserDetails user, String newPassword) {
		String username = user.getUsername();
		MutableUserDetails mutableUser = this.users.get(username.toLowerCase());
		mutableUser.setPassword(newPassword);
		return mutableUser;
	}

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		UserDetails user = this.users.get(username.toLowerCase());
		if (user == null) {
			throw new UsernameNotFoundException(username);
		}
		return new User(user.getUsername(), user.getPassword(), user.isEnabled(), user.isAccountNonExpired(),
				user.isCredentialsNonExpired(), user.isAccountNonLocked(), user.getAuthorities());
	}

	/**
	 * Sets the {@link SecurityContextHolderStrategy} to use. The default action is to use
	 * the {@link SecurityContextHolderStrategy} stored in {@link SecurityContextHolder}.
	 *
	 * @since 5.8
	 */
	public void setSecurityContextHolderStrategy(SecurityContextHolderStrategy securityContextHolderStrategy) {
		Assert.notNull(securityContextHolderStrategy, "securityContextHolderStrategy cannot be null");
		this.securityContextHolderStrategy = securityContextHolderStrategy;
	}

	public void setAuthenticationManager(AuthenticationManager authenticationManager) {
		this.authenticationManager = authenticationManager;
	}

}

这个类很好理解
在初始化的时候,创建了一个HashMap,所有的用户信息以username作为“主键”都放在了HashMap中。其中

  • createUser(UserDetails user)
  • updateUser(UserDetails user)
  • deleteUser(String username)
  • changePassword(String oldPassword, String newPassword)
  • userExists(String username)

这些方法来自UserDetailsManager

  • loadUserByUsername(String username)

这个方法来自UserDetailsService,而UserDetailsManager继承了UserDetailsService类

配置

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
                .username("user")
                .password("password")
                .roles("USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }
}

废话说的差不多了,开始上配置。在这里,项目启动的时候提供了一个初始用户。也可以直接调用无参构造方法,但是逻辑上不太好弄。然后,Spring Security官方文档中不建议这么创建UserDetails,并且withDefaultPasswordEncoder也是个弃用方法,推荐的创建方法如下

UserDetails user = User.builder()
		.username("user")
		.password("{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW")
		.roles("USER")
		.build();

上面的密码是password经过Bcrypt加密后的密文
密文可以这么生成

@SpringBootTest
public class ApplicationTest {

    @Test
    void contextLoads(){
        System.out.println(new BCryptPasswordEncoder().encode("password"));
    }
}

用的IDEA社区版创建的maven工程,手动引入SpringBoot的依赖,还得手动引入一下test依赖。我嫌从网页下载初始化项目麻烦,结果是遇到了更大的麻烦。还得是因为没钱,用不起付费版,流下了没钱的泪水

后续的用户可以调用createUser等方法来实现创建、删除、修改密码等操作。创建和调用bean的时候最好命名一下

Spring Security【项目搭建 、内存认证 、UserDetailsService 、数据库认证、PasswordEncoder】()-全面详解(学习总结---从入门到深化)
07-18 919
Spring Security【项目搭建、内存认证、UserDetailsService、数据库认证、PasswordEncoder】()-全面详解(学习总结---从入门到深化)
Spring Security 内置的InMemoryUserDetailsManager配置过程
iteye_11819的博客
04-26 5864
InMemoryUserDetailsManagerSpring Security 内置的实现UserDetailsManager 接口的默认配置实现。它主要负责从配置文件中加载用户的账户信息。观察Spring Security源代码可清晰发现其配置过程。   UserServiceBeanDefinitionParser类解析配置文件&lt;user-service&gt;元素。代码...
Spring Security Config : InMemoryUserDetailsManagerConfigurer
Details Inside Spring
06-02 4111
概述 介绍 InMemoryUserDetailsManagerConfigurer是Spring Security Config提供的一个安全配置器SecurityConfigurer,用来配置一个安全构建器ProviderManagerBuilder(通常可以认为就是AuthenticationManagerBuilder),它为目标安全构建器提供的是一个基于内存存储用户账号详情的用户账号详情...
SpringSecurity之UserDetailsService详解
m0_67391521的博客
03-22 337
要想返回 UserDetails 的实例就只能返回接口的实现类。关于security的权限认证可以看一下这个专栏的上一篇文章。里面的权限对于后面学习授权是很有必要的,包含的所有内容为此用户具有的权限,如有里面没有 包含某个权限,而在做某个事情时必须包含某个权限则会出现 403。而在实际项目中账号和密码都是从数据 库中查询出来的。此处的用户名应该是客户端传递过来的用户名。中是需要通过自己的逻辑从数据 库中取值的。而三个参数的构造方法实际上也是调用 7 个参数的构造方法。据 User 中的 失败。
Springboot+SpringSecurity内存账户管理
Rmx的技术小站
09-23 239
内存用户管理 第一种application配置方式 spring.security.user.name=账号 spring.security.user.password=密码 spring.security.user.roles=角色(USER,ADMIN) 此方法只用于修改初始化默认账号,无法进行多账号的添加管理 第二种常见配置管理 import org.springframework.beans.factory.annotation.Autowired; import org.springframe
1-初识SpringSecurity:user in-memory
Heartsuit的博客
12-06 530
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。 实验0:Hello SpringSecurity 第一步,新建一个SpringBoot项目,起名:springboot-security,核心依赖为Web,此处先不引入SpringSecurity依赖。 <dependencies> <dependency> <groupId>org.springframework.boot&
SpringSecurity---内存认证和数据库认证
gaoqiandr的博客
09-18 292
本文主要介绍的是SpringSecurity认证
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
总的来说,将Spring Cloud Gateway与Spring Security相结合,可以构建出一套高效、安全的微服务认证系统,提高整体系统的稳定性和用户体验。这种整合不仅简化了微服务之间的交互,还增强了系统的安全性,是现代...
基于Spring Boot框架的Spring Security项目.zip
09-08
基于Spring Boot框架的Spring Security项目 项目简介 本项目是一个基于Spring Boot框架的Spring Security项目,涵盖了Spring BootSpring SecuritySpring Cloud等多个技术栈的应用。项目主要功能包括用户认证...
Spring BootSpring Security整合
聚娃科技开发者博客
07-12 1075
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它是基于Spring框架的一个扩展,专注于为Java应用程序提供身份验证和授权功能。在现代Web应用中,安全性是至关重要的一环,Spring Security能够帮助我们轻松地集成各种认证机制和授权策略,保护应用程序免受恶意攻击和数据泄露。通过本文的介绍,我们学习了如何在Spring Boot应用中集成Spring Security,并实现基本的用户认证和授权功能。确保用户能够按预期访问和操作受保护的资源。
基于Spring Boot 3.0、Spring Security 6和Vue 3的现代化前后端分离架构设计源码
10-05
Spring Security 6作为安全框架,提供了一整套的安全策略,包括用户认证、授权、CSRF防护、跨站请求伪造保护等,确保了前后端分离架构下的Web应用安全。 在前端方面,Vue 3是构建用户界面的渐进式JavaScript框架,...
基于Spring SecuritySpring Boot的完整认证授权设计源码
最新发布
04-11
该项目为基于Spring SecuritySpring Boot框架构建的完整认证授权模块源码,包含1741个文件,涵盖168个XML配置、74个Java类、20个CSS样式、17个HTML页面、14个JavaScript脚本等,主要使用Java、CSS、HTML和...
Spring Security : 概念模型接口 UserDetailsManager 用户详情管理器
Details Inside Spring
05-29 2787
概述 介绍 UserDetailsManager是Spring Security的一个概念模型接口,用于抽象建模对用户详情的管理这一概念。它继承自接口UserDetailsService,是对UserDetailsService接口的能力扩展。 UserDetailsService定义了根据用户名获取用户详情的能力,UserDetailsManager在此基础上增加定义了如下能力 : 创建用户账...
Spring Boot+Spring Security:基于内存的角色授权
weixin_45863786的博客
03-11 235
(1)如何给指定的用户指定角色 通过AuthenticationManagerBuilder的roles()方法,就可以指定角色,示例代码: auth.inMemoryAuthentication() .withUser("admin") .password(passwordEncoder().encode("123456")) ...
SpringBoot 集成 SpringSecurity 详解(三)-- 基于内存实现多用户认证信息
kk鲁
09-25 934
SpringBoot 集成 SpringSecurity 详解(三)-- 基于内存认证信息和角色授权本文需求基于内存实现多用户认证信息功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰...
Spring Boot + Spring Securiy登录报错
HB的博客
06-06 486
protected void configure(AuthenticationManagerBuilder auth) throws Exception { //指定了一个用户名密码和角色的用户 auth.inMemoryAuthentication() .withUser("admin") .pass...
14. Spring Boot 2.x 最佳实践之 Spring Security 集成
极客星云-CSDN博客
11-30 1520
Spring Boot 2.x 最佳实践之 Spring Security 集成
SpringSecurity】五、UserDetails接口和UserDetailsService接口(原理、流程)
llg___的博客
08-23 5554
接下来自己定义一个用户SecurityUser类,也去实现UserDetails接口,重写UserDetails接口方法时,直接写死一个用户信息,一会儿new这个自定义的SecurityUser类,也就和上面的User.builder一个意思。重写loadUserByUsernam方法,并当用户名等于自定义的SecurityUser对象中的用户名时,返回SecurityUser对象。查看User类的源码,其实现了UserDetails接口,因此上面才可以直接创建User对象。重启服务,登录下,一切正常。
Spring Security 6.x 系列【2】认证篇之使用数据库存储用户
记录知识、锤炼自我
03-23 5654
用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,支持多种存储机制:内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储本篇文档主要学习使用数据库存储用户信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值