Spring Security3 入门一

         很长一段时间都想整理一份关于Spring Security(v   3.0.5)的文档,忙的时候想着有空了再说,有空了又想偷懒,一来二去,从接手项目的权限这块到现在都半年多了,这个想法却始终停留在脑子里,今天索性开个头,一点一点来,给自己足够的时间来整理这半年多来对Spring Security 的认识和理解。

        关于Spring Secutity 是什么,此处不做详细的介绍了,维基中有非常详细的介绍!项目之初,项目组做框架选型的时候,技术总监提到要用Spring Security,当时整个项目组的人都没太明白做权限还有必要用框架 ?! 事实上,确实是非常的有必要,或者更准确的说是必须要一些验证规则!主要也是因为之前的工作木有涉及到权限这块,脑子里对权限这块的概念比较模糊,琢磨着之前做过的业务系统从来也没听过用什么安全框架,关键的就是用几张与用户关联的表对用户信息及行为信息做存储,根据这些信息每次在业务方法中对其进行判断、约束就OK了...也是因为这次的项目经历明白了为什么?! 从事Web 开发的亲们,大家都知道,严格意义上讲,一个安全性比较强的b/s 架构的系统客户端发起的每次请求在服务器端都应该经过 身份认证、授权两个过程,只有这样,到达我们的控制器时才能确保当前的用户请求为合法的,不过是我们常常做的项目中将这两个过程淡化而已(甚至是遗忘),所以才会有了开头的疑惑!

     那么,每次客户端的请求在进入你的控制器时,都应该经过两个过程(身份认证、授权),也就意味着系统中的所操作都得有“身份认证、授权”这样额外的逻辑处理,这样的代码充斥着你的控制器的每个方法中,想想都蛮崩溃!当然了,一个结构以及安全性良好的应用系统是该如此! 那么既然控制器层的函数中在真正的业务规则处理之前都是“身份认证、授权”这样的代码,我们为什么不将其抽象出来,或者说剥离出来呢?聪明的你肯定想到继承了,一个父类控制器写身份认证、授权的判断逻辑,这样当然可以。可是未免显得有些不够灵活,对于我们现在这个需求而言...有木有想到Aop 呢 ? 我们完全可以把“身份认证、授权”这部分逻辑当作系统中一个与具体业务无关的点(就像事物、日志),也就是我们经常说的“横切面”,组织一部分代码针对其进行处理,  对用户的身份验证以及授权理想情况下本就不该侵入业务代码中的.我们可以自己写一些拦截器或者过滤器,但我们现在有更好的选择,去Apache 社区找找看,可以发现一个非常棒的开源权限框架,Spring Secyrity!你也许会想Spring Secyrity 与Aop 是什么关系呢?你可以理解为Spring Security 是Aop 思想的一种实现(此处假定你对Aop 有概念,对Aop 不熟悉的童鞋,建议先维基),就像spring一样也是一种Aop思想的实现,其实看了security 的源码就会发现 security框架的实现中到处充斥着设计思想以及最佳实践!

     整个Spring  Security 框架是一堆的拦截器组成的,客户端的任意请求在到达我们的控制器之前,security 已经将所有我们想到没想到的工作替我们做了。如 信道判断(具体基于http 、https 、udp 等某个协议,当你的控制器中规定某个方法只允许某种协议请求到时,security 的信道判断就会对其进行限制,是不是感觉很强大 ?!)、是否恶意攻击判断、同一用户的单点登录判断、登录登出判断、Session 过期判断、对用户进行授权以及权限判断等等.....security 帮我们做了这一系列复杂的处理工作,我们可以有更多的时间在业务方面,这样以来,我们的业务代码也会变得很“干净”,有木有 !?


      今天就到这,明天开始对Spring Secyrity的框架应用进行详细介绍。

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页