spring-boot-starter-jdbc-ssh

<think>我们正在使用Spring Boot集成sshd-sftp 2.15.0来提供SFTP服务，并且希望使用MySQL数据库来管理用户，实现用户目录隔离。 主要步骤： 1. 添加依赖：在pom.xml中添加sshd-sftp的依赖。 2. 配置数据库：使用MySQL存储用户信息，包括用户名、密码、目录等。 3. 实现用户验证和目录隔离：自定义一个`PasswordAuthenticator`和`FileSystemFactory`，从数据库加载用户信息并设置每个用户的家目录。 具体实现： 步骤1：添加依赖 在pom.xml中添加以下依赖（注意版本）： ```xml <dependency> <groupId>org.apache.sshd</groupId> <artifactId>sshd-sftp</artifactId> <version>2.15.0</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <scope>runtime</scope> </dependency> ``` 步骤2：配置数据库连接（application.properties） ```properties spring.datasource.url=jdbc:mysql://localhost:3306/sftp_db?useSSL=false&serverTimezone=UTC spring.datasource.username=root spring.datasource.password=root spring.jpa.hibernate.ddl-auto=update ``` 步骤3：创建用户实体类（UserEntity） ```java @Entity public class UserEntity { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String username; private String password; // 存储加密后的密码 private String homeDirectory; // 每个用户的家目录，绝对路径 // getters and setters } ``` 步骤4：创建UserRepository ```java public interface UserRepository extends JpaRepository<UserEntity, Long> { UserEntity findByUsername(String username); } ``` 步骤5：自定义PasswordAuthenticator，从数据库验证用户 ```java @Component public class DatabasePasswordAuthenticator implements PasswordAuthenticator { @Autowired private UserRepository userRepository; @Override public boolean authenticate(String username, String password, ServerSession session) { UserEntity user = userRepository.findByUsername(username); if (user == null) { return false; } // 这里假设密码是明文存储，实际中应该使用加密方式（如BCrypt）存储，然后匹配 return password.equals(user.getPassword()); } } ``` 步骤6：自定义FileSystemFactory，为每个用户提供独立的根目录 ```java @Component public class UserBasedFileSystemFactory implements FileSystemFactory { @Autowired private UserRepository userRepository; @Override public FileSystem createFileSystem(SessionContext session) throws IOException { String username = session.getUsername(); UserEntity user = userRepository.findByUsername(username); if (user == null) { throw new IOException("User not found: " + username); } // 创建用户的家目录（如果不存在） Path home = Paths.get(user.getHomeDirectory()); if (!Files.exists(home)) { Files.createDirectories(home); } // 返回一个基于该目录的文件系统视图 return new NativeFileSystemFactory().createFileSystem(session).withRoot(home); } } ``` 步骤7：配置SFTP服务器 ```java @Configuration public class SftpServerConfig { @Value("${sftp.port}") private int port; @Autowired private DatabasePasswordAuthenticator passwordAuthenticator; @Autowired private UserBasedFileSystemFactory fileSystemFactory; @Bean public SshServer sshServer() throws Exception { SshServer sshd = SshServer.setUpDefaultServer(); sshd.setPort(port); sshd.setKeyPairProvider(new SimpleGeneratorHostKeyProvider(new File("hostkey.ser"))); sshd.setSubsystemFactories(Collections.singletonList(new SftpSubsystemFactory())); sshd.setPasswordAuthenticator(passwordAuthenticator); sshd.setFileSystemFactory(fileSystemFactory); return sshd; } @Bean public ApplicationRunner startSftpServer(SshServer sshServer) { return args -> { sshd.start(); System.out.println("SFTP server started on port " + port); }; } } ``` 注意：上面的代码中，我们使用了`SimpleGeneratorHostKeyProvider`来生成主机密钥。在生产环境中，应该使用固定的密钥文件，并且确保多个实例使用相同的主机密钥，这样在负载均衡环境下客户端不会因为主机密钥变化而报错[^1]。 步骤8：在application.properties中配置端口 ```properties sftp.port=2222 ``` 这样，当用户通过SFTP客户端连接时，会使用数据库中的用户信息进行验证，并且每个用户会被限制在自己的家目录下。 安全提示： 1. 密码不应该明文存储，应该使用BCrypt等加密方式存储，然后在验证时使用`PasswordEncoder`进行匹配。 2. 确保家目录的权限设置正确，避免用户越权访问。 示例中省略了密码加密部分，实际中应该加入，例如： 在UserEntity中存储加密后的密码，并在验证时使用BCryptPasswordEncoder： ```java // 在DatabasePasswordAuthenticator中 @Autowired private PasswordEncoder passwordEncoder; @Override public boolean authenticate(String username, String password, ServerSession session) { UserEntity user = userRepository.findByUsername(username); if (user == null) { return false; } return passwordEncoder.matches(password, user.getPassword()); } ``` 并在Spring Security配置中定义PasswordEncoder Bean（或者直接使用Spring Security，但这里我们只做密码编码）： ```java @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } ``` 这样，我们就实现了基于MySQL数据库的SFTP用户认证和目录隔离。 注意事项： - 如果部署多个实例，需要同步主机密钥（即hostkey.ser文件），否则客户端连接不同实例时会因为主机密钥变化而报错[^1]。 - 需要确保数据库中的每个用户都有唯一的用户名和正确的家目录路径。 相关问题： 1. 如何实现用户密码的加密存储？ 2. 如何配置多个SFTP服务器实例以实现负载均衡？ 3. 如何动态添加或删除SFTP用户？ 4. 如何限制用户的SFTP操作（如只读）？ 5. 如何监控SFTP服务器的运行状态？</think>### Java Spring集成SFTP服务（SSHD-SFTP 2.15.0）实现MySQL用户目录隔离 #### 一、实现思路 1. **核心组件** - 使用 `org.apache.sshd:sshd-sftp:2.15.0` 提供SFTP服务 - 通过MySQL存储用户信息和目录映射 - 自定义 `PasswordAuthenticator` 和 `FileSystemFactory` 实现用户认证和目录隔离 2. **关键流程** ```mermaid sequenceDiagram SFTP客户端->>+SSHD服务器： 连接请求(username/password) SSHD服务器->>+MySQL数据库： 查询用户信息及目录 MySQL数据库-->>-SSHD服务器： 返回用户权限和目录路径 SSHD服务器->>+自定义FileSystem： 创建用户隔离目录 SSHD服务器-->>-SFTP客户端： 授权访问指定目录 ``` --- #### 二、实现步骤 ##### 1. 添加依赖（pom.xml） ```xml <dependency> <groupId>org.apache.sshd</groupId> <artifactId>sshd-sftp</artifactId> <version>2.15.0</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> ``` ##### 2. MySQL用户表结构 ```sql CREATE TABLE sftp_user ( id BIGINT AUTO_INCREMENT PRIMARY KEY, username VARCHAR(50) UNIQUE NOT NULL, password VARCHAR(100) NOT NULL, -- 存储BCrypt加密密码 home_dir VARCHAR(255) NOT NULL, -- 示例: "/data/sftp/user1" enabled BOOLEAN DEFAULT true ); ``` ##### 3. 核心实现类 ```java // 自定义密码认证器 @Component public class DatabasePasswordAuthenticator implements PasswordAuthenticator { @Autowired private UserRepository userRepository; @Autowired private PasswordEncoder passwordEncoder; @Override public boolean authenticate(String username, String password, ServerSession session) { SftpUser user = userRepository.findByUsername(username); return user != null && user.isEnabled() && passwordEncoder.matches(password, user.getPassword()); } } // 自定义文件系统工厂（实现目录隔离） @Component public class UserIsolationFileSystemFactory implements FileSystemFactory { @Autowired private UserRepository userRepository; @Override public FileSystem createFileSystem(SessionContext session) throws IOException { String username = session.getUsername(); SftpUser user = userRepository.findByUsername(username); if (user == null) throw new IOException("User not found"); Path userHome = Paths.get(user.getHomeDir()); Files.createDirectories(userHome); // 自动创建目录 // 返回用户隔离的文件系统视图 return new NativeFileSystemFactory().createFileSystem(session).withRoot(userHome); } } ``` ##### 4. 配置SFTP服务器 ```java @Configuration public class SftpServerConfig { @Value("${sftp.port:2222}") private int port; @Bean public SshServer sshServer( DatabasePasswordAuthenticator authenticator, UserIsolationFileSystemFactory fsFactory) { SshServer sshd = SshServer.setUpDefaultServer(); sshd.setPort(port); sshd.setKeyPairProvider(new SimpleGeneratorHostKeyProvider()); sshd.setSubsystemFactories(Collections.singletonList(new SftpSubsystemFactory())); sshd.setPasswordAuthenticator(authenticator); sshd.setFileSystemFactory(fsFactory); return sshd; } @Bean public CommandLineRunner startSftpServer(SshServer sshServer) { return args -> { sshServer.start(); System.out.println("SFTP服务已启动，端口: " + port); }; } } ``` ##### 5. 安全配置（application.properties） ```properties # 数据库配置 spring.datasource.url=jdbc:mysql://localhost:3306/sftp_db spring.datasource.username=root spring.datasource.password=yourpassword # SFTP端口配置 sftp.port=2222 # 主机密钥同步（多实例部署时需同步此文件） sshd.host-key-file=/etc/ssh/ssh_host_rsa_key ``` --- #### 三、关键注意事项 1. **主机密钥同步** 多实例部署时需同步主机密钥文件（如`/etc/ssh/ssh_host_rsa_key`），避免客户端因密钥变化拒绝连接[^1]。 2. **目录权限** ```bash chmod 700 /data/sftp/user1 # 确保用户目录权限隔离 ``` 3. **密码安全** 使用BCrypt加密存储密码： ```java @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } ``` 4. **防火墙配置** 需在安全组开放SFTP端口（默认2222）[^2]。 --- #### 四、测试验证 1. 使用FileZilla连接： ``` 主机: localhost 端口: 2222 协议: SFTP ``` 2. 验证用户只能访问自己的目录（如`/data/sftp/user1`） ---