Spring Security多用户体系实战：基于若依框架的会员与后台双登录隔离方案-尧图网络科技

1. 为什么需要多用户体系隔离？

在实际开发中，我们经常会遇到这样的场景：一个系统需要同时支持普通用户和管理员两种角色登录。比如电商平台，既有普通消费者在前台购物，又有运营人员在后端管理商品和订单。这两种用户虽然共用同一个系统，但在数据、权限和登录流程上都需要完全隔离。

我遇到过不少项目，初期为了赶进度，直接把管理员和普通用户放在同一张表里，用user_type字段区分。结果随着业务发展，各种权限混乱、数据泄露的问题接踵而至。最典型的就是普通用户通过修改请求参数，意外访问到了管理后台的接口。

Spring Security作为Java领域最成熟的安全框架，其实早就考虑到了这种多用户体系的场景。通过UserDetailsService、AuthenticationManager等核心组件的灵活配置，我们可以实现完全隔离的两套认证体系。而若依框架作为国内流行的快速开发平台，基于Spring Security做了很好的封装，这给我们提供了很好的基础。

2. 若依框架的默认认证机制解析

2.1 若依的登录流程剖析

若依框架默认已经实现了一套完整的后台管理员登录流程。当我们查看源码时，会发现核心逻辑集中在SysLoginService这个类中。它的登录流程大致是这样的：

前端提交用户名密码
通过UsernamePasswordAuthenticationToken生成认证凭证
AuthenticationManager调用UserDetailsService加载用户详情
密码校验通过后生成Token
将Token和用户信息存入Redis

关键代码片段如下：

// 用户验证 Authentication authentication = null; try { // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername authentication = authenticationManager .authenticate(new UsernamePasswordAuthenticationToken(username, password)); } catch (Exception e) { // 异常处理 } // 生成token LoginUser loginUser = (LoginUser) authentication.getPrincipal(); String token = tokenService.createToken(loginUser);

2.2 默认实现的局限性

问题在于，这套实现默认只针对sys_user这一张用户表。当我们需要新增一套会员体系时，会遇到几个棘手的问题：

UserDetailsService是单例的，默认只能处理一种用户类型
AuthenticationManager绑定的是默认的用户服务
Token生成和校验逻辑需要区分用户来源
权限校验体系需要能够区分两类用户

我曾经在一个电商项目中尝试直接修改UserDetailsServiceImpl，在里面通过if-else判断用户类型。虽然也能工作，但这种做法违反了单一职责原则，随着用户类型增多，代码会变得难以维护。

3. 方案一：完整集成Spring Security机制

3.1 创建独立的用户实体和Mapper

首先我们需要为会员体系创建独立的数据结构。建议在common模块中定义会员实体类，比如ShopUser：

@Data public class ShopUser { private Long userId; private String username; private String password; private String phone; // 其他会员特有字段 }

对应的Mapper接口需要提供按用户名/手机号查询的方法：

public interface ShopUserMapper { ShopUser selectShopUserByPhone(String phone); }

3.2 实现自定义UserDetailsService

接下来创建ShopUserDetailsServiceImpl实现UserDetailsService接口：

@Component("shopUserDetailsService") public class ShopUserDetailsServiceImpl implements UserDetailsService { @Autowired private ShopUserMapper shopUserMapper; @Override public UserDetails loadUserByUsername(String username) { ShopUser member = shopUserMapper.selectShopUserByPhone(username); if (member == null) { throw new ServiceException("会员不存在"); } return createLoginUser(member); } public UserDetails createLoginUser(ShopUser member) { return new LoginUser(member.getUserId(), member); } }

这里有个关键点：若依的LoginUser类默认只支持系统用户。我们需要改造它，增加对ShopUser的支持：

public class LoginUser implements UserDetails { // 原有字段 private ShopUser shopUser; // 新增构造方法 public LoginUser(Long userId, ShopUser shopUser) { this.userId = userId; this.shopUser = shopUser; } // 修改getUsername和getPassword @Override public String getUsername() { return shopUser != null ? shopUser.getPhone() : user.getUserName(); } }

3.3 配置独立的AuthenticationManager

为了让Spring Security能使用我们的会员认证流程，需要定义专门的AuthenticationManager：

@Configuration public class ShopUserSecurityConfig { @Autowired @Qualifier("shopUserDetailsService") private UserDetailsService userDetailsService; @Bean("shopUserAuthenticationManager") public AuthenticationManager shopUserAuthenticationManager() { DaoAuthenticationProvider provider = new DaoAuthenticationProvider(); provider.setUserDetailsService(userDetailsService); provider.setPasswordEncoder(new BCryptPasswordEncoder()); return new ProviderManager(provider); } }

3.4 实现会员登录接口

最后创建会员专用的登录服务：

@Service public class ShopUserLoginService { @Autowired @Qualifier("shopUserAuthenticationManager") private AuthenticationManager authenticationManager; @Autowired private TokenService tokenService; public String login(String phone, String password) { UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(phone, password); Authentication authentication = authenticationManager.authenticate(token); LoginUser loginUser = (LoginUser) authentication.getPrincipal(); return tokenService.createToken(loginUser); } }

这样我们就完整实现了一套与后台管理并行的会员认证体系。两种用户类型从数据存储、认证流程到Token生成都是完全隔离的。

4. 方案二：轻量级Token方案

4.1 方案设计思路

如果项目对安全性要求不是特别高，或者开发周期非常紧张，可以采用这种更简单的方案。核心思路是：

完全绕过Spring Security的认证流程
直接查询会员表验证账号密码
手动创建LoginUser对象
复用若依的Token生成机制

这种方案的优点是实现快速，不需要深入理解Spring Security的复杂配置；缺点是失去了框架提供的安全保护，需要自己处理更多安全细节。

4.2 具体实现步骤

首先创建会员登录服务：

@Service public class SimpleShopUserLoginService { @Autowired private ShopUserMapper shopUserMapper; @Autowired private TokenService tokenService; public String login(String phone, String password) { ShopUser member = shopUserMapper.selectShopUserByPhone(phone); if (member == null || !password.equals(member.getPassword())) { throw new ServiceException("手机号或密码错误"); } LoginUser loginUser = new LoginUser(); loginUser.setUserId(member.getUserId()); loginUser.setShopUser(member); return tokenService.createToken(loginUser); } }

然后创建会员专用的控制器：

@RestController @RequestMapping("/api/member") public class MemberController { @Autowired private SimpleShopUserLoginService loginService; @PostMapping("/login") public AjaxResult login(@RequestParam String phone, @RequestParam String password) { String token = loginService.login(phone, password); return AjaxResult.success("登录成功").put("token", token); } }

4.3 权限处理方案

由于绕过了Spring Security，我们需要自己处理权限校验。可以在拦截器中实现：

@Component public class MemberAuthInterceptor implements HandlerInterceptor { @Autowired private TokenService tokenService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = getToken(request); LoginUser loginUser = tokenService.getLoginUser(token); if (loginUser == null || loginUser.getShopUser() == null) { throw new ServiceException("会员未登录"); } return true; } }

然后在WebMvcConfigurer中注册这个拦截器：

@Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private MemberAuthInterceptor memberAuthInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(memberAuthInterceptor) .addPathPatterns("/api/member/**") .excludePathPatterns("/api/member/login"); } }