【SpringSecurity】1. 基础概念

已于 2024-04-24 17:43:11 修改
阅读量921 收藏 20
点赞数 22
分类专栏: Spring 文章标签: spring spring security
于 2024-02-17 17:44:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maxbao0401/article/details/136140359
版权

专栏目录
未完待续…

文章目录

基础概念

1. 认证

1.1 什么是认证

认证通常指的是确认某个事物或者某个人的真实性、合法性或者资格的过程。

认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。

在Web开发中,用户认证(登录)就是判断一个用户身份是否合法的过程。

1.2 常见的用户身份认证方式
  • 用户名密码登录
  • 二维码登录
  • 手机短信登录
  • 指纹认证
  • 人脸识别

2. 会话

2.1 什么是会话

用户认证通过后,为了避免用户每次操作都要进行认证,可将用户的信息保存在会话中。
会话就是系统为了保持当前用户的登陆状态所提供的机制,常见方式为:

  • 基于session方式
  • 基于token方式
2.2 基于session方式

用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的session_id存放在cookie中,这样客户端每次请求都会携带session_id来验证服务端是否存在session数据,以此进行用户身份的合法性校验,当用户退出系统或session过期后,客户端的session_id也就随之失效。

2.3 基于token方式

用户认证成功后,在服务端生成token发给客户端,客户端可以将该token在cookie或localStorage中存储。

这样客户端每次请求都会携带token,服务端收到请求后通过token即可验证用户身份。

除此之外,也可以使用Redis存储用户信息,在分布式中共享session

cookie和localStorage

cookie在页面跳转的时候,存在于请求头中,不需要额外编写代码令请求头携带cookie

localStorage是浏览器的本地存储,只存储在当前页面,进行页面跳转时默认不会携带localStorage的数据,需要单独编写代码

2.4 总结

基于session的认证方式是Servlet规范的,服务端存储session需要占用内存资源,且客户端要支持cookie。

基于token的方式则不需要服务端存储token,且不限制客户端的存储方式。

在前后端分离的架构中,更适合采用不限制客户端的token认证方式

3. 授权

授权是用户认证确认通过后,分配给用户的资源访问权限,根据权限来控制用户访问资源的过程。

拥有资源访问的权限可以正常访问,否则拒绝访问

4. RBAC-基于角色的访问控制

如果存在多个用户需要授予的权限都相同,那么在实现上会非常麻烦,要把相同的权限进行反复地大量地授予。

为解决这一问题,就可以使用**RBAC(Role-Based Access Control)**基于角色的访问控制,就是把权限打包授予给角色(该角色拥有一组权限),通过角色分配给用户(用户可以拥有多个角色)。

因此需要构建表用于在数据库存储:

  • 用户表
  • 角色表
  • 用户-角色表
  • 权限表
  • 角色-权限表

5. Java开发中的安全框架

框架描述
Shiro轻量级的安全框架,提供认证、授权、会话管理、密码管理、缓存管理等功能
SpringSecurity比Shiro功能更强,更复杂,权限控制粒度更细,对OAuth2有很好的支持,适用于Spring框架,集成于SpringBoot
自定义基于过滤器和AOP实现,难度大,效率低
Maxbao0401
关注
  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security 6.x 系列(13)—— 会话管理之会话概念及常用配置
gmHappy
01-02 2493
在实现会话管理之前,我们还是先来了解一下协议和会话的概念,连协议和会话都不知道是啥,还谈啥管理。
Spring Security基础笔记1)
一个后端菜鸟的博客
02-15 864
文章目录前言认证:授权:一、Spring Security二、特征三、spring security 和 shrio的区别相同点不同点四、实例入门示例4. 登录原码解析(使用debug)自定义用户名和密码关键类自定义登录页面,用户登出和未认证授权的错误页面配置(403) 前言 认证: 身份验证是验证用户身份的过程。也就是说,当用户通过应用程序进行身份验证时,他们在证明自己实际上就是他们所说的身份。 授权: 授权本质上是访问控制-控制用户可以在应用程序中访问的内容(例如资源,网页等)。大多数用户通过使用角色
Spring Security系列之基础概念
Carroll的博客
06-24 875
SpringSecurity 本质是一个过滤器链,采用的是责任链设计模式。
SpringSecurity基础入门详解
小小默:进无止境
06-27 1067
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。
Spring Security 6.x 系列【44】微服务篇之统一身份认证实现方案
记录知识、锤炼自我
05-26 1544
在微服务架构中,前后端分离基于JSON进行数据交互,前端不仅有浏览器,还会有APP、H5、小程序等。 微服务中的后台应用一般都会按功能职责拆分为很多个独立应用,比如一个电商系统,会拆分为用户、订单、商品、库存、支付、商家管理等。一个大型项目后台应用可能有成千上万个,每个独立服务的职责都是单一的,对于登录认证来说,也是需要一个独立的服务,不可能每个服务实例都提供登录功能。
Spring Security 6.x 系列【54】认证篇之SAML 2.0 协议
记录知识、锤炼自我
06-12 1294
SAML英文全称为Security Assertion Markup Language,即安全断言标记语言。该标准由安全服务技术委员会OASIS制定,始于2001年,2005年发布SAML 2.0沿用至今。
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 3295
SpringSecurity 中的请求路径匹配接口 RequestMatcher
Spring Security基础使用
m0_48972623的博客
03-10 8277
目录 一. 什么是spring security 二. Spring security 的使用 1.创建springboot项目 2.主启动类 2.配置controller层 3.配置config类 4.配置多用户登录以及注入权限及登录config注入 5.配置config层 6.登录成功处理类及无权限处理类 7.配置工具类 8.启动测试 三. 总结 一. 什么是spring security Spring Security是一个能够为基于Spring的企业应用系统提供声明.
SpringSecurity素材.rar
03-02
1. **SpringSecurity简介**:首先会介绍SpringSecurity的基本概念和架构,包括它如何通过层层过滤器保护Web应用,以及它提供的主要组件如Authentication(认证)和Authorization(授权)。 2. **配置SpringSecurity...
springSecurityTest.zip
03-27
总结起来,"springSecurityTest.zip"文件提供了一个完整的环境,让你可以动手实践Spring Security基础用法。通过学习其中的代码、笔记和文档,你将理解Spring Security如何与Spring框架协同工作,如何设置认证和...
Spring Security笔记.rar
05-07
Spring Security 是一个强大的且高度可定制的框架,用于为Java应用程序提供身份验证和授权服务。它主要用于保护基于Spring的...通过学习本笔记,你可以逐步掌握Spring Security基础知识,并将其运用到实际项目中。
spring_security.zip
09-07
Spring Security 基础知识点: 1. **认证**:Spring Security 提供了多种认证机制,如基于表单的认证、HTTP Basic 认证、JWT(JSON Web Token)认证等。用户可以通过自定义AuthenticationProvider 或使用预定义的...
狂神的SpringSecurity素材.rar
02-28
首先,SpringSecurity基础概念包括核心组件、过滤器链和安全性上下文。核心组件如AuthenticationProvider负责身份验证,AccessDecisionManager处理权限决策,UserDetailsService用于用户详情服务。过滤器链是...
Java之SpringBoot入门(含Spring Mvc)
qq_35639854的博客
08-06 990
在计算机领域, 会话是⼀个客⼾与服务器之间的不中断的请求响应. 对客⼾的每个请求,服务器能够识 别出请求来⾃于同⼀个客⼾. 当⼀个未知的客⼾向Web应⽤程序发送第⼀个请求时就开始了⼀个会话. 当客⼾明确结束会话或服务器在⼀个时限内没有接受到客⼾的任何请求时,会话就结束了.服务器同⼀时刻收到的请求是很多的. 服务器需要清楚的区分每个请求是从属于哪个⽤⼾, 也就是属于 哪个会话, 就需要在服务器这边记录每个会话以及与⽤⼾的信息的对应关系. Session是服务器为了保存⽤⼾信息⽽创建的⼀个特殊的对象.
SpringCloud入门简介
敢问路在何方,路在脚下
08-06 436
SpringCloud是微服务治理方案之一;SpringCloud与SSM框架和SpringBoot没什么关联SSM:web应用的开发框架,包含视图层(模型model+视图view+控制器controller),业务层,持久层SpringBoot:简化SSM的配置,同时提供构建项目的脚手架。
介绍springboot水文
最新发布
lw的博客
08-07 289
Spring Boot是一个基于Spring框架的开源项目,它提供了大量的自动配置和简化的依赖管理,使得开发人员可以快速构建出独立的、生产级别的Spring应用程序。Spring Boot是一个强大的框架,它通过简化配置和提供丰富的自动配置特性,使得开发人员可以快速构建出独立的、生产级别的Spring应用程序。提供了一系列的starter POMs(项目对象模型),通过添加这些starter依赖,可以自动引入所需的库和版本,避免了版本冲突和依赖管理的问题。
SpringBoot】数据验证之分组校验
Jacker
08-05 387
下面通过示例演示分组校验。在上面的示例中,在@Validated注解中增加了{GroupA.class,Default.class}参数,表示对于定义了分组校验的字段使用GroupA校验规则,其他字段使用默认规则。@Length(min=20,max=30,message="必须在[20,30]"),groups={GroupA.class};@Length(min=30,max=40,message="必须在[30,40]",groups={GroupB.class})/**用户id**/
SpringSecurity3.x入门实战教程
"这篇文档是关于Spring Security 3.x的入门教程,旨在帮助开发者快速理解和实践这个安全框架。作者基于实战经验,整理了一个完整的入门...通过实践这个入门教程,你将能够快速上手并掌握Spring Security基础操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值