Spring Security
Spring 是非常流行和成功的 Java 应用开发框架,而Spring Security 正是 Spring 家族中的成员。Spring Security基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 主要包括“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
- (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户可不可以进入系统。用户认证一般要求用户提供用户名和密码,然后通过系统校验来完成认证过程。通俗点说就是系统判断用户是否能登录系统。
- (2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如再一个商城系统里,对与顾客来说,只能够查看商品的价格,而对于商家来说,他可以修改售卖的商品的价格,而不同的商家也只能修改自己的店铺里商品的价格。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一某些的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。\
Spring Security的特点
- 可以和 Spring 无缝整合。
- 全面的权限控制。
- 专门为 Web 开发而设计。
- 旧版本不能脱离 Web 环境使用。新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境,所以比较重量级。
对比一下Shiro (Apache 旗下的轻量级权限控制框架)。Shiro的特点是:
- 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求 的互联网应用有更好表现。
- 通用性。 不局限于 Web 环境,可以脱离 Web 环境使用。
- 缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制。
Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之 前,Spring Security 就已经发展了多年了,但是使用的并不多,因为 SSM 中整合 Spring Security 比较麻烦,而 Shiro 就显得比较灵活,所以,Spring Security 虽然功能比 Shiro 强大,但是使用率不高。自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了自动化配置方案,可以使用更少的配置来使用 Spring Security。 因此,一般来说,常见的安全管理技术栈的组合是这样的:
- SSM + Shiro
- Spring Boot/Spring Cloud + Spring Security 以上只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行的。
但据有关数据表示,现在大多数开发人员对于Spring Security仅仅停留在会用的阶段,对于其核心原理却不知其所以然。所以今天互联网雷锋(小编我)就把前段时间拿到的Spring Security实战总结无偿分享出来给大家!希望能帮助大家打开Spring Security的大门
如果你想深入学习Spring Security,那么这套Spring Security进阶宝典一定能对你有所帮助
Spring Security笔记
基本概念
什么是认证
基于角色的访问控制
基于Session的认证方式
Spring容器配置
实现会话功能
实现授权功能
Spring Security快速上手
Spring Security介绍
认证页面与安全配置
授权
Spring Security 应用详解
- 工作原理
- 授权流程
退出
分布式系统认证方案
- 什么是分布式系统
分布式认证方案
OAuth2.0
- Spring Cloud Security OAuth2
- JWT令牌
完善环境配置
Spring Security实现分布式系统授权
- 需求分析
- 配置资源服务
修改UserDetailService
Spring Security实战
第一部分
第1部分主要讲解Spring Security的基本配置;
认证与授权
第二部分
第2部分剖析Web项目可能遇到的安全问题,并讲解如何使用Spring Security进行有效防护;
单点登录与CAS
第三部分
第3部分详细介绍OAuth,并使用Spring Social整合Spring Security,实现QQ快捷登录;
第四部分
第4部分重点介绍Spring Security OAuth框架,剖析Spring Security OAuth的部分核心源码。
Spring Security OAuth核心源码分析
