4.spring security-框架概述

已于 2022-04-11 23:45:27 修改
阅读量2k 收藏
点赞数
分类专栏: Spring Security OAuth2.0 文章标签: java
于 2022-03-30 21:44:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stubborn_bull/article/details/123857861
版权

概要

  Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。

  正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。

  (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录

  (2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情

同款产品对比

  SpringSecurity 特点(Spring 技术栈的组成部分):

    和 Spring 无缝整合;

    全面的权限控制;

    专门为 Web 开发而设计;

      旧版本不能脱离 Web 环境使用;

      新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境;

    重量级;

  Shiro(Apache 旗下的轻量级权限控制框架)特点:

    轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。

  通用性:

    好处:不局限于 Web 环境,可以脱离 Web 环境使用。

    缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制。

  Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,SpringSecurity 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。

  相对于 Shiro,在 SSM 中整合 Spring Security 都是比较麻烦的操作,所以,SpringSecurity 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。

  自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了自动化配置方案,可以使用更少的配置来使用 Spring Security。

  因此,一般来说,常见的安全管理技术栈的组合是这样的:

    SSM + Shiro

    Spring Boot/Spring Cloud + Spring Security

  以上只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行的。

模块划分

  核心 spring-security-core.jar:

  包含身份验证和访问控制类和接口,远程支持和基本配置API. 使用Spring-security的任何应用程序都需要此模块. 支持独立的应用程序,远程客户端,方法(服务层)安全性和JDBC用户配置. 包含包:

org.springframework.security.core
org.springframework.security.access
org.springframework.security.authentication
org.springframework.security.provisioning

  远程处理 spring-security-remoting.jar:

  提供与Spring Remoting的集成. 除非你非要编写使用Spring Remoting的远程客户端,否则不需要这样做,主要包:

org.springframework.security.remoting

  网页 spring-security-web.jar:
  包含过滤器和相关的Web安全基础结构代码.任何与Servlet API依赖的东西. 如果你需要Spring Security Web认证服务和基于URL的访问控制,则需要它,主要包:

org.springframework.security.web

  配置 spring-security-config.jar:
  包含安全名称空间解析代码和Java配置代码.如果你使用Spring Security XML名称空间精选配置或Spring Security 的java配置支持,则需要它,主要包是:

org.springframework.security.config

  LDAP spring-security-ldap.jar:
  LDAP身份验证和配置代码.如果你需要使用LDAP用户条目,则为必须,顶级软件包:

org.springframework.security.ldap

  ACL spring-security-acl.jar:
  专门的域对象ACL实现,用于将安全性应用于应用程序中的特定域对象实例,顶级软件包:

org.springframework.security.acls

  CAS spring-security-cas.jar:
  Spring Security的CAS客户端集成.如果想通过CAS单点登录服务器使用Spring Security Web认证,顶级软件包:

org.springframework.security.cas

  OpenID spring-security-openid.jar:
  OpenID web身份验证支持. 用于根据外部OpenID服务器对用户精选身份验证,顶级软件包;

org.springframework.security.openid

  Test spring-security-test.jar:
  支持Spring security 进行测试

九宫格输入法
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合SpringSecurity
yj123ab的博客
01-24 950
搭建完SpringBoot项目后导入依赖 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <version>5.4.2</version> <scope&g
SpringSecurity认证
亦翼的博客
11-11 785
文章目录SpringSecurity认证的基本原理 & 认证的2种方式过滤器链认证方式 SpringSecurity认证的基本原理 & 认证的2种方式 SpringSecurity框架会默认自动地替我们将系统中的资源进行保护,每次访问资源的时候都必须经过一层身份的校验,如果通过了则重定向到我们输入的url中,否则访问是要被拒绝的。具体的实现主要是由一系列过滤器相互配合完成,也称之为过滤器链。 过滤器链 过滤器是一种典型的AOP思想。Spring Security默认加载15个过滤器,
SpringSecurity框架
Mr_Jin的博客
06-20 4949
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
SpringSecurity的集成以及相关组件的介绍
m0_63437643的博客
02-19 3193
Spring Boot Security支持 在企业应用系统安全方面,比较常用的安全框架SpringSecurity 和 Apache Shiro,相对于Shiro, Spring Security功能强大、扩展性强,同时学习难度也稍大一些。 Spring Security是专门针对 Spring 项目的安全框架,关于 Spring Security 的应用,我们可以通过专业书籍来学习,在本章我们重点放在Spring Boot对Spring Security的集成以及相关组件的介绍。 在具体项目实践
Spring security 包名org.springframework.security
Nemo
05-29 1367
链接https://blog.csdn.net/liushangzaibeijing/article/details/81220610 SpringBoot + Spring Security 基本使用及个性化登录配置:https://blog.csdn.net/u013435893/article/details/79596628
spring-Security-oauth2.zip
05-26
Spring Security OAuth2 是一个强大的框架,用于在Spring应用程序中实现安全性和身份验证。OAuth2 是一个授权框架,允许第三方应用获取有限的访问权限到受保护的资源,而无需分享用户名和密码。本压缩包文件“spring...
spring-security-oauth2
03-17
Spring Security OAuth2是Spring Security框架的一个扩展,旨在支持OAuth2协议。它提供了一套全面的组件,包括授权服务器、资源服务器以及客户端支持,帮助开发者构建符合OAuth2规范的安全系统。通过Spring Security...
Spring-Security-Demo-master.zip
12-26
一、Spring Security概述 Spring Security是一个全面的Java安全框架,它提供了身份验证、授权、会话管理等功能,能够有效地保护Web应用免受各种安全威胁。Spring Security的核心理念是“保护所有,除非明确允许”,...
spring-security-core-2.0.6.RELEASE
07-14
Java Web开发领域,Spring Security是一款广泛使用的安全框架,它为应用程序提供了全面的安全管理解决方案,包括身份验证、授权以及会话管理等关键功能。本文将深入探讨Spring Security的核心模块,并以2.0.6....
官方完整包 spring-framework-5.3.7.RELEASE-dist.zip
05-18
1. **Spring 框架概述**: Spring Framework 提供了一个分层架构,允许开发者选择使用哪些组件。核心容器(Core Container)包括了DI(Dependency Injection)和AOP(Aspect Oriented Programming)特性,使得代码...
springsecurityJAR包
06-13
springsecurity中使用MD5编码所需要的JAR包,包括org.springframework.security.authentication.encoding.Md5PasswordEncoder
Spring Security学习笔记
Shawn的个人博客
05-09 1913
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
spring security的基本应用
tianlong1569的专栏
08-31 915
一、 基本配置 配置在系统中使用SpringSecurity,需要在pom.xml中加入spring-boot-starter-security依赖 代码如下 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 然后新建一个类继
UserDetails接口及子类实现
程序缘
01-04 3811
继承图
Spring——Security安全框架使用详解(基于内存认证)
专注写bug
02-22 6513
文章目录前言Security简介Security相关模块配置和初试父项目依赖引入创建子项目工程security 登录账户密码修改、配置配置文件指定账户密码编写配置类获取登录账户、密码 前言 在日常开发中,几乎所有的项目都需要进行请求的安全校验操作。 通常会采取以下几种方式来实现安全校验和过滤。 1、实例化HandlerInterceptor接口,配置其中的preHandle、postHandle、afterCompletion属性信息。 具体可以参考博客: springboot实践----拦截器的配置
Springboot+Security普通
点点的博客
12-08 4285
说明:今天有个哥们问我有没有什么好的权限框架推荐,我了解了一下他们对业务的要求,我反手就给他推荐了Security权限框架,他说他看过我之前的Shiro权限管理博客,感觉Shiro不错。我说区别不大,Security除了不能脱离Spring,Shiro能做的Security都能做,而且Security对oauth、OpenID等也有支持,Shiro就需要自己手动去实现了。那哥们就说:关键你没有写过Security相关的博客啊!当时我脑瓜子就嗡嗡的,这是那儿跟那儿啊。。。。。。后来感觉Security也用过几
spring security:访问控制列表来保护领域对象
指尖思维
08-31 3341
之前提到的安全保护和权限控制都是只针对 URL 或是方法调用,只对一类对象起作用。而在有些情况下,不同领域对象实体所要求的权限控制是不同的。以第一类示例应用来说,系统中有报表这一类实体。由于报表的特殊性,只有具有角色 ROLE_PRESIDENT的用户才可以创建报表。对于每份报表,创建者可以设定其对于不同用户的权限。比如有的报表只允许特定的几个用户可以查看。对于这样的需求,就需要对每个领域对象的实
spring-security项目模块
姑苏的博客
08-10 483
核心 spring-security-core.jar 包含身份验证和访问控制类和接口,远程支持和基本配置API. 使用Spring-security的任何应用程序都需要此模块. 支持独立的应用程序,远程客户端,方法(服务层)安全性和JDBC用户配置. 包含包: org.springframework.security.core org.springframework.security.access org.springframework.security.authentication org.sprin
20200508 关于idea中缺少包报错org.springframework.security
do what you like && brave
05-08 7062
maven导入org.springframework.security 前提: 1.maven的库的配置必须是本地的; 2.pom引入 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-...
Spring Security 框架概述
最新发布
06-01
Spring Security是一个基于Spring框架的安全框架,提供了一套完整的安全认证和访问控制的解决方案,可以用于保护Web应用、REST API、方法调用等资源。Spring Security的主要功能包括: 1. 身份认证:支持多种身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值