Spring Security(3)——进阶篇（自定义身份验证）(上)

原创性声明：本文完全为笔者原创，请尊重笔者劳动力。转载务必注明原文地址。

在之前的Spring Security(2)——探索篇（源码分析）中，基于官方Demo摸索了一把基于内存认证的源码。这篇尝试基于数据库做认证。

基于数据库认证，需要先做一些准备：

1.创建User对象和UserRepository接口
2.创建users表和初始账号数据

这里就只截个表和文件结构了：

users表

新增User.java和UserRepository.java

注意：User类必须实现UserDetails接口。并实现其中的几个方法。因为我们的users表只有id、username和password，因此，从UserDetails中继承而来的isAccountNonExpired()、isAccountNonLocked()、isCredentialsNonExpired() 和isEnabled()直接返回true，即可。按理说应该映射对应的数据库属性。这里为了方便。

思路整理

回到SecurityConfig.java，再简单快速理一下思路（Spring security是如何将自定义的user对象存放，然后在登录认证的时候与它进行认证）：

目前在configureGlobal方法里，spring security通过AuthenticationManagerBuilder的inMemoryAuthentication()方法实例化AbstractDaoAuthenticationConfigurer，并初始化其属性userDetailsService和DaoAuthenticationProvider provider，向provider中注入了新创建的空的userDetailsService ，但随即就通过withUser和password创建了一个UserDetailsBuilder，这里头记录了用户信息，再用initUserDetailsService将这个用户信息关联到provider的userDetailsService中。至此完成存放的工作。Spring security通过AuthenticationManager这个全局认证管理器在用户登录认证时的过滤链中触发，但认证委托给继承类ProviderManager，而真正执行认证的是这个类下面的一个属性List providers, 我们又看到了这个provider，进一步发现，AuthenticationProvider就是DaoAuthenticationProvider的顶层父级接口类，因此在用List providers进行认证时，就是在用DaoAuthenticationProvider provider，因此就可以获取到里面设定的用户信息了。

当然具体的代码比较复杂，我看了很多遍都没有完全理清其中具体的细节。但宏观上大致是这么个思路。

那么比较明显了，AuthenticationManagerBuilder这个类就是给我们用各种不同的方式注入用户信息，以及指定Spring security用何种方式去认证这个信息（内存、数据库等等）。我发现在这个类里除了inMemoryAuthentication()，还有几个方法：

1.jdbcAuthentication():添加jdbc认证，可以继续调用方法dataSource指定数据源。
2.ldapAuthentication()：添加LDAP认证。
3.parentAuthenticationManager(AuthenticationManager authenticationManager)：如果当前AuthenticationManager无法认证，将提供给父级认证。
4.userDetailsService(T userDetailsService)：根据传入的自定义UserDetailsService添加身份验证，自定义UserDetailsService就是实现spring security 下 org.springframework.security.core.userdetails包下的UserDetailsService接口。

那么自定义身份认证，应当使用userDetailsService()方法，先实现UserDetailsService。

创建CustomizeUserDetailsService实现UserDetailsService:

@Component("userDetailsService")
public class CustomizeUserDetailsService implements org.springframework.security.core.userdetails.UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    @Transactional
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        String lowerUsername = username.toLowerCase();

        Optional userFromDatabase = userRepository.findOneByUsername(lowerUsername);

        return userFromDatabase.map(user -> user).orElseThrow(() -> new UsernameNotFoundException(
                "User " + lowerUsername + " was not found in the " + "database"));
    }
}

修改SecurityConfig

@EnableWebSecurity // 1
public class SecurityConfig extends WebSecurityConfigurerAdapter { // 2

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests() // 3
            .antMatchers("/index", "/css/**").permitAll() //4
            .antMatchers("/user/**").authenticated()//.hasRole("USER") //5
            .and()                // 6
            .formLogin()
            .loginPage("/login")
            .failureUrl("/login-error").permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { // 7
        auth
//            .inMemoryAuthentication() //8
//            .withUser("user").password("password").roles("USER"); // 9
        .userDetailsService(userDetailsService);
    }
}

修改了两个地方，一个是将inMemoryAuthentication配置注释掉了，更改为userDetailsService, 另一个是将 //5处的hasRole("USER")注释了（因为没有创建角色表和用户角色关联表，在User类中getAuthorities(),只返回了一个空的Set authorities）。

清理项目并重新启动

首页可访问

安全页面仍需要认证

输入在数据库中预输好的admin和1234，并登陆，登陆成功：

登录成功

无论是采用内存认证还是jdbc认证（后面再记录一篇）或是自定义认证，认证机制都是一样的。下篇将创建角色表和用户角色关联表，为不同用户设置角色，从而引入Spring security的另一个重点：授权。