最新Spring Security的基于内存用户认证方式

更新时间：2025年07月28日 14:40:20 作者：Micro麦可乐

本文讲解SpringSecurity内存认证配置,适用于开发、测试等场景,通过代码创建用户及权限管理,支持密码加密,虽简单但不持久化,生产环境推荐使用数据库或JWT等认证方式,感兴趣的朋友一起看看吧

1. 前言

又是新的一周，博主继续来给大家更新 Spring Security 实战教程了，在上一个章节中我们详细介绍了 Spring Security 的底层原理，本章节博主将带着大家介绍如何在 Spring Security 中实现基于内存的用户认证。

虽然 Spring Security 基于内存的用户认证，实际开发来说相对来说用的比较少，但某些场景下（如：开发阶段、原型验证、演示环境搭建、单元测试/集成测试、或甚至不需要数据库的简单系统），基于内存的用户认证方式就足以满足需求，为了应对这样需求，博主觉得还是要必要聊一聊基于内存的用户认证。

2. 因何选择内存认证？

就如前面说的场景，总结内存认证主要有以下几个优点：

简单快捷：配置简单，不需要依赖数据库或外部存储，适用于快速构建和测试。
易于调试：所有用户信息存储在代码中，方便开发过程中快速定位问题。
适用于小型应用：对于用户数量较少的应用或者临时验证原型，内存认证是个不错的选择

当然，内存认证也有局限性：用户数据不持久化、无法扩展到分布式系统等。因此，在生产环境中，通常会采用基于数据库或其他外部认证机制的方式。

与数据库认证对比

特性	内存认证	数据库认证
用户存储位置	应用内存	持久化存储
用户管理灵活性	配置硬编码	动态增删改查
生产环境适用性	不推荐	推荐

3. 基础配置实战

接下来在之前的Maven项目中还是创建第三个子模块 memory-spring-security ，完整的maven项目结构如下：

❶ 创建Spring Security配置文件

现在我们来创建一个Spring Security 配置文件 InMemorySecurityConfig

@Configuration
public class InMemorySecurityConfig {
    // 手动配置用户信息
    @Bean
    public UserDetailsService users() {
        UserDetails user = User.withUsername("user")
                .password("{noop}user") // {noop}表示不加密
                .roles("USER")
                .build();
        UserDetails admin = User.withUsername("admin")
                .password("{noop}admin")
                .roles("ADMIN")
                .build();
		//可以继续追加其它用户...
        UserDetails anonymous = User.withUsername("anonymous")
                .password("{noop}anonymous")
                .roles("ANONYMOUS")
                .build();
        return new InMemoryUserDetailsManager(user, admin, anonymous);
    }
    // 配置安全策略 并配置/admin/** 只允许ADMIN角色用户访问
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.
                authorizeHttpRequests(authorize -> authorize
                        .requestMatchers("/admin/**").hasRole("ADMIN")
                        .anyRequest().authenticated()
                )
                .formLogin(withDefaults())
                .logout(withDefaults())
        ;
        return http.build();
    }
}

配置说明

构建UserDetailsService
创建两个用户信息分别是：admin、user ，并由InMemoryUserDetailsManager进行在内存中保存用户数据
SecurityFilterChain
在SecurityFilterChain中，默认采用了Spring Security表单登陆登出方式，并配置/admin/**请求路径下需要管理员角色方可访问

❷ 创建Controller测试

接下来我们创建用以测试的Controller ：DemoMemoryController

@Controller
public class DemoMemoryController {
    //返回用户信息及角色权限
    @GetMapping("/")
    public ResponseEntity<Map<String, Object>> index(Authentication authentication) {
        String username = authentication.getName();//用户名
        Object principal =authentication.getPrincipal();//身份
        // 获取用户拥有的权限列表
        List<String> roles = authentication.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toList());
        //返回用户信息
        return ResponseEntity.ok(Map.of(
                "username", username,
                "principal", principal,
                "roles", roles));
    }
	//测试管理员权限
    @GetMapping("/admin/view")
    public ResponseEntity<String> admin() {
        return ResponseEntity.ok("管理员ADMIN角色访问ok");
    }
}

代码说明

注入 Authentication 对象
在 index 方法中，通过方法参数直接注入 Authentication 对象，Spring Security 会自动传入当前认证信息。
提取用户信息
通过 authentication.getName() 获取当前登录用户的用户名；通过 authentication.getAuthorities() 获取用户的权限列表，并将每个权限的 getAuthority() 值收集成一个字符串列表。

❸ 运行测试

启动项目访问，登陆页中分别测试两个用户登陆查看信息，如user用户：

接下来尝试使用user用户访问 /admin/view 路径，会出现 403 访问错误提示：即您无权访问此地址

切换admin用户登陆，继续访问 /admin/view 路径，出现管理员ADMIN角色访问ok 文字显示即代表管理员角色允许访问

4. 追加密码编码器

在上述代码中，我们使用了 password(“{noop}admin”) 声明了密码明文存储，如果我们需要对密码加密，如何操作？实际上 Spring Security 为我们提供了非常方便的密码编码器

密码编码器配置
只需要创建 PasswordEncoder Bean，并返回加密类型，如下代码样例：

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}
@Bean
public UserDetailsService users(PasswordEncoder encoder) {
    UserDetails user = User.builder()
            .username("user")
            .password(encoder.encode("secret"))
            .roles("USER")
            .build();
    return new InMemoryUserDetailsManager(user);
}

支持的编码格式：

# 不同前缀对应不同编码器
{noop} → NoOpPasswordEncoder (明文)
{bcrypt} → BCryptPasswordEncoder
{pbkdf2} → Pbkdf2PasswordEncoder
{scrypt} → SCryptPasswordEncoder
{sha256} → StandardPasswordEncoder

5. 总结

通过本章节的配置示例，相信你已经可以使用 Spring Security 的基于内存认证方式来快速搭建安全认证体系。

注意章节中提到的基于内存的用户认证适用的场景，更多情况下还是建议使用更为健全的认证方式，如基于数据库的认证、JWT 令牌认证或 OAuth2，在下一章节我们将重点讲述数据库的认证，敬请期待…

到此这篇关于最新Spring Security的基于内存用户认证方式的文章就介绍到这了,更多相关Spring Security内存用户认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Mybatis-plus查询条件拒绝自动去重问题
文章讨论了在使用MyBatis进行多表数据关联查询时,由于主键ID重复导致数据被覆盖的问题,通过在实体类中添加伪列主键,并在查询中使用该伪列字段,可以确保每条数据都有一个唯一的标识,从而避免数据被去重
2025-12-12
Java设计模式之单例模式简介
这篇文章主要介绍了Java设计模式之单例模式简介,文中有非常详细的代码示例,对正在学习Java的小伙伴们有非常好的帮助,需要的朋友可以参考下
2021-04-04
SpringBoot条件注解@Conditional详细解析
这篇文章主要介绍了SpringBoot条件注解@Conditional详细解析,@Conditional是Spring4.0提供的一个用于条件装配的注解,其定义了一个Condition的数组,只有当数组所有的条件都满足的时候,组件才会被导入容器,需要的朋友可以参考下
2023-11-11
HttpServletRequest参数丢失问题及解决
在使用HttpServletRequest进行参数传递时,如果在异步方法中使用,可能会导致参数丢失,这是因为HttpServletRequest对象在异步任务中可能被回收,为了解决这个问题,可以在异步方法中提前提取参数,然后将其传递给异步任务
2025-10-10
SpringBoot拦截器(Interceptor)自定义实现登录鉴权功能
在 Web 项目中,登录鉴权是最核心的安全机制,SpringBoot 提供的 HandlerInterceptor 拦截器,是实现登录校验、日志记录、接口限流最优雅的方案,本篇文章将介绍原理、自定义拦截器、登录校验实战、放行白名单、全局异常处理,需要的朋友可以参考下
2026-03-03
java数据结构和算法中数组的简单入门
在本文里小编给大家整理了关于java数据结构和算法中数组的简单入门知识点整理，需要的朋友们学习下。
2019-06-06
SpringSecurity登录使用JSON格式数据的方法
这篇文章主要介绍了SpringSecurity登录使用JSON格式数据的方法，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-02-02
maven打包时配置多环境参数的实现
本文主要介绍了maven打包时配置多环境参数的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2025-04-04
详解idea maven项目如何使用lib下得jar包
这篇文章主要介绍了详解idea maven项目如何使用lib下得jar包，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-12-12
java使用Jsoup连接网站超时的解决方法
jsoup是一个非常好的解析网页的包，用java开发的，提供了类似DOM，CSS选择器的方式来查找和提取文档中的内容,提取文档内容时会出现超时的情况，解决方法可看下文
2013-11-11