Spring Security
Spring Security是一种基于Spring AOP和Servlet规范中的Filter实现的安全框架,为基于Spring的应用程序提供声明式安全保护,它能在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。Spring Security从两个角度来解决安全性问题,它使用Servlet规范中的Filter保护Web请求并限制URL级别的访问,还能够使用Spring AOP保护方法调用——借助于对象代理和试用通知,能够确保只有具备适当权限的用户才能访问安全保护的方法。
通过HTTP发送的数据没有经过加密,敏感信息要通过HTTPS来加密发送
跨站请求伪造,一个站点欺骗用户提交请求到其他服务器,就会发生CSRF攻击。Spring Security通过一个同步token的方式来实现CSRF,它将会拦截状态变化的请求并检查CSRF token。