微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
最近更新
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > Java > java教程 > 正文

在 Spring Security 6 中集成外部数据库进行用户认证

霞舞
发布: 2025-11-29 11:49:35
原创
274人浏览过

在 Spring Security 6 中集成外部数据库进行用户认证

本文旨在指导如何在 spring security 6 中通过自定义 `userdetailsservice` 实现与外部数据库的用户认证。我们将介绍如何配置 `securityfilterchain`,并结合数据访问对象(dao)从外部数据库加载用户凭据,从而替代已弃用的 `websecurityconfigureradapter` 方法,提供一套现代且安全的用户登录解决方案。

在 Spring Security 6 中,传统的 WebSecurityConfigurerAdapter 类已被弃用,取而代之的是基于组件的配置方式,主要通过定义 SecurityFilterChain Bean 来实现安全配置。对于需要从外部数据库加载用户凭据进行认证的场景,核心思路是实现 UserDetailsService 接口,并通过数据访问层(DAO 或 Repository)与数据库进行交互。

核心概念:UserDetailsService 与数据访问层

Spring Security 的认证流程依赖于 UserDetailsService 接口。该接口只有一个方法:UserDetails loadUserByUsername(String username),它负责根据用户名加载用户的详细信息,包括用户名、密码以及所拥有的权限(角色)。

为了实现从外部数据库加载用户,我们需要:

  1. 一个数据访问对象 (DAO/Repository):负责与数据库进行实际的数据交互,查询用户数据。这可以是使用 JPA Repository、MyBatis Mapper,或者像 JdbcTemplate 这样更底层的 JDBC 访问方式。
  2. 一个 UserDetailsService 的实现类:在该类中注入上述数据访问对象,并在 loadUserByUsername 方法中调用数据访问对象来获取用户数据,然后将其转换为 Spring Security 期望的 UserDetails 对象。

步骤一:配置 Spring Security 6 的 SecurityFilterChain

首先,我们需要一个 SecurityConfiguration 类来定义 SecurityFilterChain Bean,这是 Spring Security 6 的主要配置入口。在这个配置中,我们将定义授权规则和启用表单登录。Spring Security 会自动检测并使用容器中存在的 UserDetailsService 类型的 Bean 进行用户认证。

package de.gabriel.vertretungsplan.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests((requests) -> requests
                        // 定义不同角色的访问权限
                        .requestMatchers("/vertretungsplan").hasAnyRole("SCHUELER", "LEHRER", "VERWALTUNG")
                        .requestMatchers("/account").hasAnyRole("LEHRER", "VERWALTUNG")
                        .requestMatchers("/administration").hasRole("VERWALTUNG")
                        // 允许所有用户访问根路径
                        .requestMatchers("/").permitAll()
                        // 任何其他请求都需要认证
                        .anyRequest().authenticated()
                )
                .formLogin(form -> form
                        // 可以指定自定义的登录页面路径,例如 "/login"
                        // .loginPage("/login")
                        // 允许所有用户访问登录页面
                        .permitAll()
                );
        return http.build();
    }

    /**
     * 配置密码编码器。强烈建议在生产环境中使用强密码编码器。
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
登录后复制

在上述配置中,我们定义了授权规则,并启用了 formLogin。重要的是,我们还定义了一个 PasswordEncoder Bean。Spring Security 在进行密码比对时会使用这个编码器。

步骤二:实现自定义 UserDetailsService

接下来,创建一个实现 UserDetailsService 接口的类。这个类将负责从数据库中检索用户信息。

Magic Write
Magic Write

Canva旗下AI文案生成器

Magic Write 75
查看详情 Magic Write

首先,定义一个简单的用户实体类 UserEntity 来映射数据库中的用户表结构。

// src/main/java/your/package/model/UserEntity.java
package your.package.model;

import java.util.List;

public class UserEntity {
    private String username;
    private String password; // 存储加密后的密码
    private List<String> roles; // 例如 "SCHUELER", "LEHRER", "VERWALTUNG"

    public UserEntity(String username, String password, List<String> roles) {
        this.username = username;
        this.password = password;
        this.roles = roles;
    }

    // Getters
    public String getUsername() { return username; }
    public String getPassword() { return password; }
    public List<String> getRoles() { return roles; }

    // Setters (根据需要添加)
}
登录后复制

然后,实现 CustomUserDetailsService:

// src/main/java/your/package/security/CustomUserDetailsService.java
package your.package.security;

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import your.package.model.UserEntity;
import your.package.repository.UserRepository; // 引入你的用户数据访问接口

import java.util.List;
import java.util.stream.Collectors;

@Service // 声明为一个Spring服务组件,使其可被Spring容器管理
public class CustomUserDetailsService implements UserDetailsService {

    private final UserRepository userRepository; // 注入用户数据访问接口

    public CustomUserDetailsService(UserRepository userRepository) {
        this.userRepository = userRepository;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 1. 从数据库获取用户实体
        UserEntity userEntity = userRepository.findByUsername(username)
                .orElseThrow(() -> new UsernameNotFoundException("用户未找到: " + username));

        // 2. 将用户实体中的角色转换为 Spring Security 期望的 SimpleGrantedAuthority 列表
        // 注意:Spring Security 默认期望角色以 "ROLE_" 开头,例如 "ROLE_SCHUELER"
        List<SimpleGrantedAuthority> authorities = userEntity.getRoles().stream()
                .map(role -> new SimpleGrantedAuthority("ROLE_" + role))
                .collect(Collectors.toList());

        // 3. 构建并返回 Spring Security 的 UserDetails 对象
        return new org.springframework.security.core.userdetails.User(
                userEntity.getUsername(),    // 用户名
                userEntity.getPassword(),    // 数据库中存储的加密密码
                authorities                  // 用户权限列表
        );
    }
}
登录后复制

步骤三:创建数据访问层(DAO/Repository)

为了让 CustomUserDetailsService 能够访问数据库,我们需要一个数据访问层。这里以 JdbcTemplate 为例,因为它轻量且易于理解。

首先,定义 UserRepository 接口:

// src/main/java/your/package/repository/UserRepository.java
package your.package.repository;

import your.package.model.UserEntity;
import java.util.Optional;

public interface UserRepository {
    Optional<UserEntity> findByUsername(String username);
}
登录后复制

然后,实现 JdbcUserRepository 使用 JdbcTemplate:

// src/main/java/your/package/repository/JdbcUserRepository.java
package your.package.repository;

import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.jdbc.core.RowMapper;
import org.springframework.stereotype.Repository;
import your.package.model.UserEntity;

import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Arrays;
import java.util.List;
import java.util.Optional;

@Repository // 声明为一个Spring数据访问组件
public class JdbcUserRepository implements UserRepository {

    private final JdbcTemplate jdbcTemplate;

    public JdbcUserRepository(JdbcTemplate jdbcTemplate) {
        this.jdbcTemplate = jdbcTemplate;
    }

    @Override
    public Optional<UserEntity> findByUsername(String username) {
        // 假设数据库中有一个名为 'users' 的表,包含 'username', 'password', 'roles' 列
        // 'roles' 列存储逗号分隔的角色字符串,例如 "SCHUELER,LEHRER"
        String sql = "SELECT username, password, roles FROM users WHERE username = ?";
        try {
            return Optional.ofNullable(jdbcTemplate.queryForObject(sql, new UserEntityRowMapper(), username));
        } catch (org.springframework.dao.EmptyResultDataAccessException e) {
            // 如果没有找到用户,JdbcTemplate 会抛出 EmptyResultDataAccessException
            return Optional.empty();
        }
    }

    // 辅助类,用于将 ResultSet 的一行映射到 UserEntity 对象
    private static class UserEntityRowMapper implements RowMapper<UserEntity> {
        @Override
        public UserEntity mapRow(ResultSet rs, int rowNum) throws SQLException {
            String rolesString = rs.getString("roles");
            List<String> roles = Arrays.asList(rolesString.split(",")); // 将逗号分隔的字符串转换为列表
            return new UserEntity(
                    rs.getString("username"),
                    rs.getString("password"),
                    roles
            );
登录后复制

以上就是在 Spring Security 6 中集成外部数据库进行用户认证的详细内容,更多请关注php中文网其它相关文章!

相关标签:
word java 编码 app access ai stream spring security 数据访问 spring mybatis String 接口 对象 数据库

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:JavaScript数值精度控制:去除计算结果的小数部分 下一篇:在Java中如何理解类的扩展点_扩展点对系统演进的价值分析
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
JavaScript数值精度控制:去除计算结果的小数部分 JavaScript提供了Math.floor、Math.round、parseInt和toFixed等多种方法,用于从计算结果中移除小数位,以适应不同的舍入需求和性能考量。本教程将详细介绍这些技术,并提供实际代码示例,帮助开发者实现精确且无小数位的数值显示,优化用户界面展示。
2025-11-29 11:39:46
782
实现非二叉搜索树的平衡左优先插入策略 本文探讨如何在非二叉搜索树中实现一种平衡且左优先的节点插入策略。不同于传统的二叉搜索树插入,该方法旨在系统地填充树的每一层,确保树的平衡性,且无需使用队列或列表等辅助数据结构。核心思想是利用当前树的节点总数,通过其二进制表示来精确导航到下一个待插入节点的位置,从而高效地实现层次遍历式的插入效果。
2025-11-29 11:39:23
313
Java里如何使用LinkedHashSet保持插入顺序_LinkedHashSet在去重与顺序维护中的应用说明 LinkedHashSet通过内部双向链表维护插入顺序,结合HashMap实现去重与有序。①添加元素时存入哈希表保证唯一性,同时链接到链表末尾;②遍历时按链表顺序返回,确保输出顺序与插入顺序一致;③去重依赖equals和hashCode方法,重复元素仅保留首个;④适用于需去重且保留顺序的场景,如用户操作记录、配置加载等;⑤相比HashSet无序、TreeSet按排序规则,LinkedHashSet在接近HashSet性能下提供确定的插入顺序,是去重保序的理想选择。
2025-11-29 11:34:57
702
实现二叉树的层序平衡插入策略:基于大小的路径导航 本教程旨在解决如何在非二叉搜索树(BST)场景下,实现一个能保持平衡并按层从左到右填充的二叉树插入功能。文章首先分析了传统递归方法的局限性,随后详细介绍了一种高效的迭代策略。该策略利用树的当前大小及其二进制表示来精确导航到新节点的插入位置,确保树的结构始终保持完整且平衡,并提供Java示例代码和关键逻辑解析。
2025-11-29 11:17:49
316
在Java中如何利用ArrayList实现动态数组_ArrayList操作实践指南 ArrayList是Java中动态数组的核心实现,基于可变长Object数组,支持运行时增删元素,解决传统数组长度固定问题;通过导入java.util.ArrayList类创建,可使用无参构造函数或指定初始容量提升性能;支持泛型声明如ArrayListlist=newArrayList();可通过Arrays.asList快速初始化;add()方法添加元素(末尾或指定位置),get()按索引访问,效率高为O(1);set()修改元素,remove()按索引或对象删除(删除后元素前移影响性能),c
2025-11-29 11:15:09
138
Java里如何使用StampedLock实现乐观锁_StampedLock乐观锁使用方法说明 StampedLock的乐观锁基于假设无冲突读取数据,通过tryOptimisticRead()获取时间戳,读取共享数据后用validate()验证有效性,若失败则降级为悲观读锁,适用于读多写少场景以提升性能。
2025-11-29 11:09:07
200
解决网格路径查找算法中无限循环问题 本文旨在解决网格路径查找算法中常见的无限循环问题。通过分析原始代码在路径跟踪和循环检测方面的不足,我们将引入一种基于多路径探索和有效循环避免策略的解决方案。文章将详细阐述如何使用队列管理所有可能的探索路径,并在每一步移动中检查当前路径是否包含目标点,从而确保算法能够高效、准确地找到目标路径,避免陷入重复移动的困境。
2025-11-29 11:06:35
151
JavaScript 数值去小数位处理:多种方法与实践 本教程详细介绍了在JavaScript中处理数值计算结果去小数位的多种方法,包括使用Math.floor()向下取整、Math.round()四舍五入、parseInt()解析整数,以及toFixed()方法进行指定位数的小数位控制。文章通过示例代码演示了这些方法的应用场景和效果,旨在帮助开发者高效地管理和显示数值数据,避免不必要的长小数位。
2025-11-29 10:48:06
967
Java中为什么强调组合优于继承_组合模式带来的灵活性与可维护性解析 组合优于继承原则强调通过“has-a”关系复用代码,而非“is-a”继承。它降低类间耦合,避免继承导致的脆弱性与紧耦合问题。例如,Bird类通过继承Flyable、Swimmable接口或持有对应行为对象,使Sparrow可飞而Penguin能游,无需共享父类实现。组合支持运行时动态改变行为,符合开闭原则,便于扩展与测试。支付系统中PaymentProcessor组合不同PaymentStrategy,新增方式无需修改原有逻辑。多用组合可提升灵活性、可维护性,减少继承层级复杂度,是Java设计中
2025-11-29 09:36:10
954
在Java里什么是行为抽象_抽象行为对代码复用的提升作用 行为抽象是将方法定义与实现分离,通过接口或抽象类定义“做什么”而非“怎么做”。其核心在于声明方法签名而不提供具体实现,如Movable接口中的move()。不同类可按需实现该行为,如Car行驶、Bird飞翔。行为抽象提升代码复用的关键在于统一调用方式、支持多态、解耦设计和便于框架扩展。例如在模拟系统中,SoundMaker接口允许Dog和Cat分别实现makeSound(),而处理逻辑只需依赖接口,无需修改即可适应新类型,实现灵活扩展与高内聚低耦合的代码结构。
2025-11-29 09:27:07
562
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部