Spring Security 6 系列之二 - 基于数据库的用户认证和认证原理

之所以想写这一系列，是因为之前工作过程中使用Spring Security，但当时基于spring-boot 2.3.x，其默认的Spring Security是5.3.x。之后新项目升级到了spring-boot 3.3.0，结果一看Spring Security也升级为6.3.0，关键是其风格和内部一些关键Filter大改，导致在配置同样功能时，多费了些手脚，因此花费了些时间研究新版本的底层原理，这里将一些学习经验分享给大家。

注意：由于框架不同版本改造会有些使用的不同，因此本次系列中使用基本框架是 spring-boo-3.3.0（默认引入的Spring Security是6.3.0），JDK版本使用的是19，所有代码都在spring-security-study项目上：https://github.com/forever1986/spring-security-study.git

上一章中，我们讲了基本入门，spring-boot如何通过默认配置集成Spring Security，也讲了如何自定义配置用户名和密码。在上一章中留下一个问题，就是用户名密码都是配置在项目里面，但实际项目中，我们都是放在数据库中，那么Spring Security如何配置数据库以及其认证原理是如何的，我们在这一章揭晓。

1 用户读取的基本原理

我们先来了解Spring Security如何读取到我们在yml文件中的数据。

1）我们看一下UserDetailsServiceAutoConfiguration这个类，其中有一个inMemoryUserDetailsManager方法

从上图中，我们可以看到，方法inMemoryUserDetailsManager注入了一个Bean，是一个InMemoryUserDetailsManager，其数据来自SecurityProperties（这个类在系列一中讲过，是读取yml或生成默认用户名密码的）。也就是说Spring Security默认构建了一个基于内存的用户密码管理类。

2）我们再看看InMemoryUserDetailsManager继承哪些类或者实现哪些接口。

上图中，我们可以看到InMemoryUserDetailsManager类实现了UserDetailsManager接口，而UserDetailsManager接口继承了UserDetailsService接口。关键点：UserDetailsService接口只有一个loadUserByUsername方法（通过用户名获得UserDetails）。UserDetailsManager接口只是在UserDetailsService接口的基础上增加了对用户的增删改查。
那么可以理解，只需要我们自己实现一个实现UserDetailsService接口或者UserDetailsManager接口的Bean，即可替换原先的配置

3）UserDetails接口，我们看到UserDetailsService接口的loadUserByUsername方法返回一个对象是UserDetails，其也是一个接口。该接口定义了一系列获取用户信息相关的方法

4）而我们在UserDetailsServiceAutoConfiguration这个类中的inMemoryUserDetailsManager方法看到，使用了一个User类创建了一个用户。这个User类其实就是实现了UserDetails接口

User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()

5）总结：Spring Security是通过调用UserDetailsService接口的实现类，获得一个UserDetails，里面包括用户信息，可以用于认证的。而Spring Security默认有2个实现类InMemoryUserDetailsManager和JdbcUserDetailsManager，分别对应基于内存的用户认证和基于数据库的用户认证。另外内置一个User类，实现最简单的UserDetails信息。

2 基于内存的用户配置

通过上面对其基本原理的理解，我们知道只需要实现一个UserDetailsService接口的类，就可以替换原来的用户密码配置，下面我们就开始实现。

代码参考lesson02子模块

1）新建一个子模块lesson02，其pom文件引入

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!--Spring Boot 提供的 Security 启动器 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency></dependencies>

2）我们只需要新增一个名称service的pakage，在下面新增一个类InMemoryUserDetailsServiceImpl，实现UserDetailsService 接口

@Service
public class InMemoryUserDetailsServiceImpl implements UserDetailsService {@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {return User.withUsername("test").password("{noop}4321").build();}
}

注意：需要将该类设置注解@Service，这样就纳入spring的Bean管理，同时也屏蔽原先默认配置的Bean
密码部分：{noop}4321，前面那个{noop}代表未加密密码，为什么要加入这个东西，后面讲解Spring Security认证流程原理在仔细讲解

3）跟lesson01一样，定义一个demo的controller和启动类
4）访问：http://127.0.0.1:8080/demo 我们可以看见，是使用新的test用户名和4321的密码才能登陆成功，原先控制台或者yml配置都失效了。

3 基于数据库的用户配置

3.1 Spring Security默认的JdbcUserDetailsManager

上面分别讲述了读取用户的原理以及基于内存读取用户的方法。那么基于数据库的用户配置才是今天的主菜。我们看到中Spring Security已经有一个JdbcUserDetailsManager实现类，如果我们要使用该类，需要按照其默认的配置创建表，创建表的语句如下位置：

注意：如果使用默认JdbcUserDetailsManager，可以去看其源码，定义了很多SQL语句，且使用的是传统JdbcTemplate的方式。而在真正项目中，我们一般会引入如mybatis框架，以及用户表会有自己的一些格外信息，所以JdbcUserDetailsManager大部分时候都是不符合我们的要求，因此实际中，我们会自定义自身的用户表以及基于数据库的UserDetailsService。

3.2 自定义基于数据库的用户配置

前提条件：基于mysql数据库创建一个数据库，名为spring_security_study，创建用户表t_user

-- spring_security_study.t_user definition
CREATE TABLE `t_user` (`id` bigint NOT NULL AUTO_INCREMENT,`username` varchar(100) NOT NULL,`password` varchar(100) NOT NULL,`email` varchar(100) DEFAULT NULL,`phone` varchar(100) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL,PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;INSERT INTO spring_security_study.t_user (username, password, email, phone)VALUES('test', '{noop}1234','test@test.com','13788888888');

下面开始说明基于自定义数据库的用户配置

代码参考lesson03子模块

1）新建子模块lesson03，其pom引入以下依赖：（引入mybatis-plus、mysql-connector、druid连接池、lombok）

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!--Spring Boot 提供的 Security 启动器 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-spring-boot3-starter</artifactId></dependency><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><scope>runtime</scope></dependency><dependency><groupId>com.alibaba</groupId><artifactId>druid-spring-boot-starter</artifactId></dependency><dependency><groupId>com.alibaba</groupId><artifactId>druid-spring-boot-starter</artifactId></dependency>
</dependencies>

2）在resources下面创建yaml文件，配置数据库连接和mybatis-plus相关配置

server:port: 8080
spring:# 配置数据源datasource:driver-class-name: com.mysql.cj.jdbc.Driverurl: jdbc:mysql://127.0.0.1:3306/spring_security_study?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertToNull&useSSL=false&allowPublicKeyRetrieval=trueusername: rootpassword: rootdruid:initial-size: 5min-idle: 5maxActive: 20maxWait: 3000timeBetweenEvictionRunsMillis: 60000minEvictableIdleTimeMillis: 300000validationQuery: select 'x'testWhileIdle: truetestOnBorrow: falsetestOnReturn: falsepoolPreparedStatements: falsefilters: stat,wall,slf4jconnectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=5000;socketTimeout=10000;connectTimeout=1200mybatis-plus:global-config:banner: falsemapper-locations: classpath:mappers/*.xmltype-aliases-package: com.demo.lesson03.entityconfiguration:cache-enabled: falselocal-cache-scope: statement

3）创建package：entity和mapper，分别定义TUser和TUserMapper，读取数据库用户数据。

@Data
public class TUser {@TableId(type = IdType.ASSIGN_ID)private Long id;private String username;private String password;private String email;private String phone;
}

TUserMapper定义个通过用户名获取用户的方法

@Mapper
public interface TUserMapper {// 根据用户名，查询用户信息@Select("select * from t_user where username = #{username}")TUser selectByUsername(String username);}

4）新建package：service，新建一个JdbcUserDetailsServiceImpl，通过mapper获取用户并返回

@Service
public class JdbcUserDetailsServiceImpl implements UserDetailsService {@Autowiredprivate TUserMapper tUserMapper;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {// 查询自己数据库的用户信息TUser user = tUserMapper.selectByUsername(username);if(user == null){throw new UsernameNotFoundException(username);}return User.builder().username(user.getUsername()).password(user.getPassword()).roles("USER").build();}}

5）和lesson02一样定义一个demo的controller接口和启动类SecurityLesson03Application，并启动
6）访问：http://127.0.0.1:8080/demo 我们可以看见，是使用新的test用户名和1234的密码才能登陆成功，原先控制台或者yml配置都失效了。

4 Spring Security认证底层原理

上面讲解了如何通过内存或者数据库配置登录用户信息，那么Spring Security是如何做用户认证的呢？
首先我们要先了解到Spring Security是一系列的Filter过滤器组成的链路，每个过滤器处理器对应的功能，如果符合则往下走，不符合则返回。关于这部分，我们在下一章中在着重讲。
之前说过Spring Security支持的认证有多种，还可以自定义认证。我们这里以用户名和密码的认证方式为例，讲解一下其主要的原理。我们主要关注Spring Security的认证过滤器（UsernamePasswordAuthenticationFilter）。

1）我们可以debug一下HttpSecurity下面这行代码，里面可以看到Spring Security默认配置定义了哪些Filter过滤器。

2）我们可以截图看到以下默认配置下有16个过滤器（不同Security版本可能不同，我这6.3.0默认什么都不配置是16），其过滤器的各自用途我们下一章讲。这一章我们主要看UsernamePasswordAuthenticationFilter

3）UsernamePasswordAuthenticationFilter是继承AbstractAuthenticationProcessingFilter，我们看看AbstractAuthenticationProcessingFilter的doFilter方法，里面有2个关键内容，一个是调用attemptAuthentication方法做认证（这个方法具体实现是在UsernamePasswordAuthenticationFilter），一个successfulAuthentication方法做后续认证成功处理（包括保存SecurityContext，调用securityContextRepository存储session）

4）我们回到认证流程，刚才说AbstractAuthenticationProcessingFilter调用attemptAuthentication，其实就是调用UsernamePasswordAuthenticationFilter里面的attemptAuthentication方法就是执行关键。看下图解释attemptAuthentication的流程

5）上图的最后一步验证，其实是调用AuthenticationManager的authenticate方法，AuthenticationManager是一个接口，该接口实现类有几个，Spring Security默认提供ProviderManager
6）ProviderManager的authenticate方法中，真正认证的是result = provider.authenticate(authentication);这一句，而provider是一个叫AuthenticationProvider接口

7）AuthenticationProvider接口，Spring Security默认提供抽象实现类AbstractUserDetailsAuthenticationProvider，我们关注其authenticate方法，方法里面有2个调用值得我们注意，一个是retrieveUser（这个类获得用户信息）和一个additionalAuthenticationChecks（做用户认证）。

8）我们可以看到retrieveUser和additionalAuthenticationChecks方法在AbstractUserDetailsAuthenticationProvider只是一个定义，还需要其子类实现，而Spring Security默认提供DaoAuthenticationProvider实现类

从上图我们就可以理解，为什么我们实现UserDetailsService接口，就能够修改用户信息的来源（比如说数据库），因为在retrieveUser方法中就是调用UserDetailsService接口去获取用户信息。
另外一个就是用户认证additionalAuthenticationChecks方法，通过一个PasswordEncoder去做用户密码匹对。

9）总结：通过UsernamePasswordAuthenticationFilter过滤器做认证，UsernamePasswordAuthenticationFilter调用AuthenticationManager管理器的authenticate方法，而AuthenticationManager是调用AuthenticationProvider的authenticate方法，AuthenticationProvider是通过其实现类DaoAuthenticationProvider提供最终的认证。如下流程图：

5 密码加密方式PasswordEncoder

5.1 密码加密原理

我们在前面分析认证原理中，DaoAuthenticationProvider的additionalAuthenticationChecks方法就是实现其密码匹配的。我们可以看到里面有一个PasswordEncoder。从名字来看就是密码加密

Spring Security提供了PasswordEncoder接口，并通过实现该接口内置很多密码加密验证方式，比如不加密、对称加密、非对称加密甚至可以自定义。这里我们着重了解3个实现类NoOpPasswordEncoder、BCryptPasswordEncoder和DelegatingPasswordEncoder

上图中就是3个常用的内置加密方式，他们分别代表NoOpPasswordEncoder（不加密）、BCryptPasswordEncoder（使用SHA-256 +随机盐+密钥对密码进行加密）、DelegatingPasswordEncoder（代理类，通过其前缀判断不同加密方式）。Spring Security默认情况下，采用的是DelegatingPasswordEncoder，下面我们了解一下DelegatingPasswordEncoder。

5.2 DelegatingPasswordEncoder原理

DelegatingPasswordEncoder可以通过给密码前面增加一个{前缀}，同时支持多种密码加密验证，而Spring Security默认的方式就是DelegatingPasswordEncoder。下图就是不同加密方式的前缀。

注意：前面我们在密码之前增加{noop}，其实就是采用不加密方式，当然这是非常不安全的，只有在演示中使用

5.3 指定PasswordEncoder

你可以指定自己的密码加密方式，只需要继承PasswordEncoder接口，并实现其方法即可。比如指定BCryptPasswordEncoder

@Bean
public BCryptPasswordEncoder createPasswordEncoder(){return new BCryptPasswordEncoder();
}

在实际项目中，密码一定是要加密，且最好不可逆和难以破解的方式，比如SHA-256。

结语：至此，我们终于将Spring Security的认证底层原理讲了一遍。如果不了解的朋友，可以多debug几次就能够明白其中原理。到目前为止，我们只是配置了用户读取方式，其它的Spring Security配置都还是默认的，我们也可以看到默认情况下，Spring Security就加载了16个过滤器，说明有很多功能还没有讲，那么下一章，就是了解Spring Security底层原理以及常见Filter过滤的作用。