Spring Boot整合Spring Security实战：用户认证、密码加密与数据库remember-me

"该资源是一个关于Spring Boot与Spring Security整合的实践教程，涵盖了用户身份认证、登录退出、密码加密验证、remember-me功能以及获取登录用户信息等内容。教程中使用的技术栈包括Spring Boot、Spring MVC、Spring Security、Spring Data JPA和thymeleaf，并强调了完全使用Java配置，不涉及XML配置。" 在Spring Boot项目中整合Spring Security，首先需要在`pom.xml`文件中引入Spring Security的相关依赖。以下是添加`spring-security-web`和`spring-security-config`依赖的代码片段： ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </dependency> ``` 接下来，我们需要自定义Spring Security的配置。通过创建一个类，继承自`WebSecurityConfigurerAdapter`，并在类上添加`@Configuration`和`@EnableWebMvcSecurity`注解。在配置类中，可以注入自定义的用户服务（如`CustomUserDetailsService`）和数据源（如`dataSource1`），以实现对用户认证和授权的定制。 ```java @Configuration @EnableWebMvcSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService customUserDetailsService; @Autowired @Qualifier("dataSource1") private DataSource dataSource1; // ... } ``` 在`configure(HttpSecurity http)`方法中，可以设置安全规则，例如允许所有用户访问特定的URL，如"/"和"/home"： ```java @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/", "/home").permitAll() // 其他安全规则配置... } ``` 对于用户密码的加密和验证，Spring Security提供了BCryptPasswordEncoder，它是一种常用的密码哈希算法。可以在注册或修改用户密码时使用这个工具进行密码的加密存储。例如，在用户服务中： ```java @Autowired private BCryptPasswordEncoder passwordEncoder; public User createUser(String username, String password) { // ... String encodedPassword = passwordEncoder.encode(password); user.setPassword(encodedPassword); // ... } ``` 实现remember-me功能，需要在`configure(HttpSecurity http)`中添加相应的配置，这将允许用户在一段时间内无须重新登录： ```java http.rememberMe().tokenRepository(persistentTokenRepository()) .tokenValiditySeconds(864000); // 10天有效期 ``` 获取登录用户信息通常可以通过`SecurityContextHolder`来实现，其中`getAuthentication()`方法返回的`Authentication`对象包含了当前登录用户的详细信息： ```java Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication != null && authentication.isAuthenticated()) { Object principal = authentication.getPrincipal(); // principal 可以是自定义的UserDetails对象，从中获取用户信息 } ``` 这个教程提供了一个全面的指南，帮助开发者了解如何在Spring Boot应用中集成Spring Security，实现安全的身份认证、授权、密码加密以及记住我功能，同时也展示了如何获取和操作登录用户的信息。