自定义Spring Security的用户认证逻辑

前言

在我们上篇中，用户的用户名是固定的，密码也是由框架为我们生成的，那么我们实际场景中，用户的登录信息应该是从数据库中读取的。

Spring Security中自定义用户认证的相关逻辑包含三部分，如何处理用户信息获取、如何处理用户校验、如何处理密码加密解密。

如何处理用户信息获取

在Spring Security中获取用户信息是被封装在一个叫UserDetailsService的接口里面的，他只有一个方法，这个方法会根据用户名去我们的存储中读取用户信息，并封装成UserDetails的类返回。Spring Security就会拿到这个用户信息去做认证处理。

下面我们来实现这个接口，来看一下效果。

@Componentpublic class MyUserDetailsService implements UserDetailsService {
    private Logger logger = LoggerFactory.getLogger(getClass());
    @Override    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {        // 根据用户名查找用户信息        logger.info("登录用户名："+username);        // 返回Spring Security提供的user对象        return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));    }}

在我们实际开发中，这个操作是读取数据库的，这里我们就简写一下即可。返回的User对象构造方法要提供三个参数。第一个参数和第二个参数是用来做认证的，第三个参数就是我们给这个用户的授权用的。

我们来启动服务，在登录页面上随便输一个用户名和密码。由于我们前面返回的UserDetails对象密码是设置“123456”，这个时候登录操作是失败的，只有输入正确的密码才能访问问我们的服务。

如何处理用户校验逻辑

用户的校验逻辑包括密码是否匹配和其他一些校验，比如用户是否被冻结，下面我们来模拟用户被冻结。

UserDetails接口封装了Security登录的所有信息以及提供一些校验逻辑的方法。由于我们为了方便，使用Spring Security提供的User对象模拟，在我们实际开发中也可以自定义用于实体，去实现这个接口，根据业务来做出不同的校验。

    boolean isAccountNonExpired();  // 账号没有过期    boolean isAccountNonLocked();  // 账户是不是锁定的，返回false也就是冻结    boolean isCredentialsNonExpired();  // 密码是不是过期    boolean isEnabled();  // 账号是不是可用，也就是账户是否被删除了

只要把这4个方法其中的一个返回值设置成为false，我们的登录就不会过了。

// 根据查找的用户信息判断用户是否被冻结  // 使用7个工作参数的函数    return new User(username, "123456",      true, true, true, false,        AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));

如何处理密码的加密与解密

在我们实际中，我们不会把密码直接存进数据库中，而是先把密码进行加密操作在存入。Spring Security来加密与解密是由PasswordEncoder接口提供的，在这个接口里面有2个方法，encode和matches。encode是在用户注册的时候，往数据库存数据之前，由我们来调用的，可以对密码进行加密。matches是Spring Security自己调用的，他可以把拿到返回的UserDetails里面的password跟用户在登录时候输入的密码进行匹配，如果匹配上是返回true，匹配不上就会抛出异常，在页面显示错误信息。

下面我们在配置类中来配置一个PasswordEncoder，为了方便，我们就直接返回有框架提供的PasswordEncoder，我们也可以自己去自定义。

  @Bean  public PasswordEncoder passwordEncoder() {      return new BCryptPasswordEncoder();  }wo'm

并且在UserDetailsService返回加密后的密码

  @Autowired  private PasswordEncoder passwordEncoder;
  @Override  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {      // 返回加密后的密码      return new User(username, passwordEncoder.encode("123456"),              true, true, true, false,              AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));  }

此外，同一个密码，使用Spring Security提供的PasswordEncoder加密得到的密文是不同的，他会随机生成salt，并且混在加密后的结果中。在判断时候会拿到密文中的salt，反推出明文。这样可以避免多个相同的密码时候，有一个密码被破解了，其他的相同密码也会跟着泄露的问题。主要是它的强大之处。

小结

到这里自定义Spring Security的用户认证逻辑已经讲完了，实际上就是三个接口来完成的

• 处理用户信息获取逻辑：UserDetailsService
• 处理i用户校验逻辑：UserDetails
• 处理密码加密解密：PasswordEncoder