具有Spring Security的多个用户

既然你在谈论UserDetailsService我假设你使用Spring Security。如果您只需要对用户进行身份验证/授权，我不确定您是否需要UserDetailsService提供的完整用户管理。在这里定义单个AuthenticationProvider和查询可能就足够了

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @PersistenceContext
    private EntityManager entityManager;

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(new AuthenticationProvider() {
            @Override
            public Authentication authenticate(Authentication authentication) throws AuthenticationException {
                // Do you database query here
                ArrayList<GrantedAuthority> authorities = new ArrayList<>();
                authorities.add(new SimpleGrantedAuthority("ROLE_"));  // list of roles from database 
                return new UsernamePasswordAuthenticationToken(authentication.getPrincipal(),
                           authentication.getCredentials(), authorities);
            }

            @Override
            public boolean supports(Class<?> authentication) {
                return true;
            }
        })
    }
}

这个例子是内联的，你应该把AuthenticationProvider变成一个真正的类。

AuthenticationProvider被称为未经验证的Authentication，由过滤器创建，通常是BasicAuthenticationFilter或UsernamePasswordAuthenticationFilter。在此之后，Authentication被给予ProviderManager，AuthenticationProvider询问每个Authentication是否可以验证这种类型的AuthenticationProvider（这是支持（）方法的用途）。一旦找到合适的Authentication，就会要求它进行身份验证 - 这是您进行数据库查找并从数据库中查找角色的位置，并根据数据库中的角色构建一个包含GrantedAuthorities列表的新HttpSecurity。

请注意，您应该将“ROLE_”放在角色的前面（除非您将它们存储起来），否则它将不适用于使用@Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/","/home").permitAll() .antMatchers("/admin/**").access("hasRole('ADMIN')") // more lines } 配置的声明性访问

GrantedAuthority

这里ADMIN映射到qazxswpoi ROLE_ADMIN。