跳到主要内容
版本:7.0.2

内存认证

DeepSeek V3 中英对照 In Memory In-Memory Authentication

Spring Security 的 InMemoryUserDetailsManager 实现了 UserDetailsService,以提供对基于用户名/密码的身份验证的支持,这些凭据存储在内存中。InMemoryUserDetailsManager 通过实现 UserDetailsManager 接口来管理 UserDetails。当 Spring Security 配置为接受用户名和密码进行身份验证时,会使用基于 UserDetails 的身份验证。

在以下示例中,我们使用 Spring Boot CLI 对密码值 password 进行编码,得到编码后的密码 {bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW

@Bean
public UserDetailsService users() {
	UserDetails user = User.builder()
		.username("user")
		.password("{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW")
		.roles("USER")
		.build();
	UserDetails admin = User.builder()
		.username("admin")
		.password("{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW")
		.roles("USER", "ADMIN")
		.build();
	return new InMemoryUserDetailsManager(user, admin);
}

前面的示例以安全格式存储了密码,但在入门体验方面仍有很大的改进空间。

在以下示例中,我们使用 User.withDefaultPasswordEncoder 来确保存储在内存中的密码受到保护。然而,它并不能防止通过反编译源代码获取密码。因此,User.withDefaultPasswordEncoder 仅应用于“入门”目的,不适用于生产环境。

@Bean
public UserDetailsService users() {
	// The builder will ensure the passwords are encoded before saving in memory
	UserBuilder users = User.withDefaultPasswordEncoder();
	UserDetails user = users
		.username("user")
		.password("password")
		.roles("USER")
		.build();
	UserDetails admin = users
		.username("admin")
		.password("password")
		.roles("USER", "ADMIN")
		.build();
	return new InMemoryUserDetailsManager(user, admin);
}

在基于 XML 的配置中,没有简单的方法来使用 User.withDefaultPasswordEncoder。对于演示或入门场景,您可以选择在密码前添加 {noop} 前缀,以表示不应使用任何编码

<user-service>
	<user name="user"
		password="{noop}password"
		authorities="ROLE_USER" />
	<user name="admin"
		password="{noop}password"
		authorities="ROLE_USER,ROLE_ADMIN" />
</user-service>