如何在 Spring Security 中配置基于内存的用户认证？

题目

如何在 Spring Security 中配置基于内存的用户认证？

信息

• 类型：问答
• 难度：⭐

考点

基本配置,用户认证,密码编码

快速回答

在 Spring Security 中配置基于内存的用户认证需要三个关键步骤：

1. 在配置类中重写 configure(AuthenticationManagerBuilder auth) 方法
2. 使用 inMemoryAuthentication() 定义用户
3. 为每个用户指定用户名、密码和角色，并配置密码编码器（如 BCryptPasswordEncoder）

原理说明

Spring Security 的认证核心是 AuthenticationManager。基于内存的认证通过 InMemoryUserDetailsManager 存储用户凭证，适用于开发和测试环境。配置时需注意：

• 密码必须编码：明文密码会导致报错
• 角色前缀：默认需要添加 ROLE_ 前缀
• 配置顺序：在 WebSecurityConfigurerAdapter 的子类中配置

代码示例

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user")  // 用户名
            .password(passwordEncoder().encode("pass123"))  // 编码后的密码
            .roles("USER")   // 角色（自动添加 ROLE_ 前缀）
            .and()
            .withUser("admin")
            .password(passwordEncoder().encode("admin456"))
            .roles("ADMIN");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();  // 推荐使用 BCrypt
    }
}

最佳实践

• 使用强密码编码器：优先选择 BCryptPasswordEncoder
• 避免硬编码密码：生产环境应从外部配置读取
• 最小权限原则：只授予必要角色

常见错误

• 错误：There is no PasswordEncoder mapped...
  原因：未配置密码编码器
  解决：添加 .passwordEncoder() 方法
• 错误：角色权限失效
  原因：角色名未加 ROLE_ 前缀
  解决：使用 .roles("ADMIN") 而非 .authorities("ADMIN")

扩展知识

• 其他认证方式：JDBC、LDAP 或自定义 UserDetailsService
• 密码编码演进：Spring Security 5 强制要求密码编码，旧版 NoOpPasswordEncoder 已弃用
• 安全加固：生产环境应结合 HTTPS、CSRF 保护等