基本认证 - 基于数据库认证 - 从数据库认证用户

一、引言

在Web应用开发中，用户认证是保障系统安全的重要环节。基本认证（Basic Authentication）是一种简单的HTTP认证方式，而基于数据库的认证则允许我们从数据库中获取用户信息进行验证，这种方式更加灵活和安全。本文将详细介绍如何使用Spring框架实现基于数据库的基本认证，从数据库中认证用户。

二、环境准备

Java 8 或更高版本
Spring Boot 2.x
Spring Security
MySQL 数据库
Maven 或 Gradle

三、项目搭建

1. 创建 Spring Boot 项目

可以使用 Spring Initializr（https://start.spring.io/）创建一个新的 Spring Boot 项目，添加以下依赖：

Spring Web
Spring Security
Spring Data JPA
MySQL Driver

2. 配置数据库连接

在 application.properties 中配置数据库连接信息：

spring.datasource.url=jdbc:mysql://localhost:3306/userdb
spring.datasource.username=root
spring.datasource.password=password
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.jpa.hibernate.ddl-auto=update
spring.jpa.show-sql=true

四、数据库设计与实体类创建

1. 数据库表设计

创建一个简单的用户表 users，包含以下字段：
| 字段名 | 类型 | 描述 |
| —— | —— | —— |
| id | int | 用户 ID，主键 |
| username | varchar(50) | 用户名 |
| password | varchar(255) | 密码 |
| enabled | boolean | 用户是否启用 |

2. 创建实体类

import javax.persistence.Entity;
import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;
import javax.persistence.Id;
@Entity
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String username;
    private String password;
    private boolean enabled;
    // Getters and Setters
    public Long getId() {
        return id;
    }
    public void setId(Long id) {
        this.id = id;
    }
    public String getUsername() {
        return username;
    }
    public void setUsername(String username) {
        this.username = username;
    }
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }
    public boolean isEnabled() {
        return enabled;
    }
    public void setEnabled(boolean enabled) {
        this.enabled = enabled;
    }
}

3. 创建 Repository 接口

import org.springframework.data.jpa.repository.JpaRepository;
public interface UserRepository extends JpaRepository<User, Long> {
    User findByUsername(String username);
}

五、实现 UserDetailsService

UserDetailsService 是 Spring Security 中用于加载用户信息的核心接口，我们需要实现该接口从数据库中获取用户信息。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import java.util.ArrayList;
import java.util.Collection;
@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        return new User(user.getUsername(), user.getPassword(), authorities);
    }
}

六、配置 Spring Security

创建一个配置类来配置 Spring Security，使用我们自定义的 UserDetailsService 进行用户认证。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService userDetailsService;
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
          .authorizeRequests()
              .anyRequest().authenticated()
              .and()
          .httpBasic();
    }
}

七、创建测试接口

创建一个简单的 RESTful 接口用于测试认证功能。

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class TestController {
    @GetMapping("/test")
    public String test() {
        return "Hello, this is a protected resource!";
    }
}

八、测试应用

启动 Spring Boot 应用，访问 http://localhost:8080/test，浏览器会弹出基本认证对话框，输入数据库中存在的用户名和密码进行认证。如果认证成功，将看到返回的消息。

九、总结

通过以上步骤，我们成功实现了基于数据库的基本认证。使用 Spring Security 和 Spring Data JPA，我们可以方便地从数据库中获取用户信息进行认证。这种方式不仅提高了系统的安全性，还使得用户管理更加灵活。

关键步骤总结

步骤	描述
项目搭建	创建 Spring Boot 项目，添加必要的依赖
数据库设计	创建用户表，设计字段
实体类和 Repository	创建实体类和 Repository 接口，用于与数据库交互
UserDetailsService	实现 `UserDetailsService` 接口，从数据库中加载用户信息
Spring Security 配置	配置 Spring Security，使用自定义的 `UserDetailsService` 进行认证
测试接口	创建测试接口，验证认证功能

希望本文能帮助你理解并实现基于数据库的基本认证。在实际开发中，可以根据需求进一步扩展和优化认证功能。