简介
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义要求
摘自:spring官网
spring security和OAuth2的关系?
根据之前对OAuth2的介绍,OAuth2只是一种协议,规则。而spring security是一种实现框架,spring security除了具有实现OAuth2协议的认证模块,还包含提供 LDAP 身份验证的模块,CAS客户端集成的模块等等。
密码存储问题
spring security建议密码存储的时候,将密码使用bcrypt进行加密。
bcrypt是由Niels Provos和 David Mazières设计的密码散列函数,基于Blowfish密码,并于 1999 年在USENIX上提出。除了加入盐以防止彩虹表攻击外,bcrypt 是一种自适应函数:随着时间的推移,可以增加迭代次数以使其更慢,因此即使计算能力增加,它仍然可以抵抗蛮力搜索攻击。
跨站请求伪造 (CSRF)
参考:
1、什么是 CSRF 攻击?
2、CSRF实例解析