Spring security 介绍

最新推荐文章于 2024-09-14 12:04:08 发布
最新推荐文章于 2024-09-14 12:04:08 发布
阅读量1k 收藏
点赞数
文章标签: spring security acegi portlet 框架 web

SpringSource的总裁和CEO Rod Johnson宣布了Spring Security2.0.0的发布,该版本将Acegi Security作为Spring应用的官方安全模块。如InfoQ早前报道,Acegi security已经成为企业软件中应用最为广泛的Java安全框架之一,它提供了全面的认证、授权、基于实例的访问控制、channel安全及人类用户检验能力:

Acegi Security开始于2003年底,其起因源于Spring开发者邮件列表上的一个问题:基于Spring的安全实现是否在计划中呢?从那时起,Acegi就成为为数不多的Java安全框架之一,毫无疑问,也是应用最为广泛的一个。Servlet和EJB安全标准的不健全及灵活性差的原因导致人们对Acegi产生了浓厚的兴趣,也就是从那时起,Acegi发展成支持今天大多数认证机制的项目。对于认证我们已经讨论很多了,然而对于安全方面最大的挑战(也是讨论最少的)却来自于授权,Acegi支持如下几种方式的授权:web请求,方法调用,甚至对单个域对象实例的访问。

新特性包括简化的配置,并增加了新的功能,包括OpenID、NTLM、JSR 250注解、AspectJ切入点(pointcut)支持、域ACL增强、RESTful URI授权、组、分级角色、用户管理API、数据库支持的“remember me”,portlet认证、其他语言、Web Flow 2.0支持、Spring IDE可视化及自动完成、通过Spring Web Services 1.5提供的增强WSS支持等等。

这是向Spring Portfolio迈出的重要一步。Spring(Acegi)Security已经成为Java平台上使用最广泛的企业安全框架,从SourceForge上250,000的下载量及每个版本超过20,000的下载量我们就能认识到这一点。

在Acegi Security主页上有关于新项目更多的技术细节:

Spring Security 2.0.0构建在Acegi Security坚实的基础之上,并增加了很多新特性:
  • 简化的基于命名空间的配置语法。旧式配置可能需要上百行的XML,然而我们对配置方式新的约定确保很多部署只需要不到十行
  • OpenID集成,这是web界新出现的单点登录标准(受到Google、IBM、Sun、Yahoo等支持)
  • Windows NTLM支持,提供针对Windows网络简单的企业范围的单点登录
  • 支持JSR 250(“EJB 3”)security注解,提供了针对授权元数据的基于标准的模型
  • AspectJ切入点表达式语言支持,允许开发者在Spring管理的对象上应用横切(cross-cutting)安全逻辑
  • 对高性能域对象实例安全性(“ACL”)的改进
  • 全面支持RESTful web请求授权,这样它可以与构建RESTful系统的Spring 2.5 @MVC模型配合得很好
  • 支持长久以来都一直需要的组、层级角色及用户管理API,他们联合起来可以减少开发时间并大幅改善系统的管理
  • 一个改进的、数据库支持的“remember me”实现
  • 支持开箱即用的portlet认证
  • 对其他语言的支持
  • 其他众多的改进、文档和新的例子
  • 通过Spring Web Flow 2.0对web状态与流程流转授权提供支持
  • 最新支持可视化安全方法,并且支持Spring IDE的自动完成
  • 通过Spring Web Services 1.5对WSS(以前称作WS-Security)增强支持

Matt Raible描述了升级到Spring Security 2.0的个人体会:

很兴奋看到Spring Security 2.0给予你如此多的能力和灵活性,完全不必使用XML。谢谢你们了!

Matt还为这次升级做了一个完全列表

Chris Baker详细说明了从Acegi升级到Spring Security2.0的路径,并且概要论述了从现存的基于Acegi的Spring应用升级到Spring Security 2.0的步骤:

这个关于如何配置Spring Security 2.0以访问数据库中的资源的简短指南并没有触及Spring Security 2.0中的许多新特性,但是我认为它展现了框架中最常用的一些功能,我希望它能对你有帮助。Spring Security 2.0优于ACEGI的一个地方在于它的配置文件更简练,当我将旧有的ACEGI配置文件(172行)与新的配置文件(42行)相比时就很容易发现这一点。
就像我在步骤1中所说的那样,下载Spring Security是最棘手的事情。从那之后将一帆风顺……

之前Dan曾发表评论说“你使用Acegi一次,就有一个仙女死去”,作为回应,Rod Johnson幽默地说该安全框架的新版本“能够在童话王国胜任”。在Spring Security 2.0发布前,SpringSource的Ben Alex也曾对Dan的话发表了评论

我们从社区论坛、开发者列表、JIRA、用户会议、培训、咨询和团队blog上收到了大量的反馈。毋庸置疑,很多人都在找寻对Spring Security(以前的Acegi)配置格式的改进方式,为此我们投入了大量的时间。
在下周的Spring体验大会上,我将展示Spring Security 2.0.0 M1的新特性将如何简化配置。

可以从这里下载最新发布的Spring Security。

FLYJAVA
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security介绍
li123128的博客
11-03 2万+
文章主要分三部分 1、Spring Security的架构及核心组件:(1)认证;(2)权限拦截;(3)数据库管理;(4)权限缓存;(5)自定义决策; 2、环境搭建与使用,使用当前热门的Spring Boot来搭建环境,结合项目中实际的例子来做几个Case; 3、Spring Security的优缺点总结,结合第二部分中几个Case的实现来总结Spring Security的优点和缺点。 1、Spring Security介绍 ​ 整体介绍Spring Security为基于J2EE开发的企业应用软件
Spring Security】基本功能介绍
m0_45406092的博客
03-24 5491
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired VerifyCodeFilter verifyCodeFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(verifyCode
Spring Security快速入门
赵广陆
02-07 1万+
目录1 Spring Security介绍2 创建工程2.1 创建maven工程2.2 Spring容器配置2.3 Servlet Context配置2.4 加载 Spring容器3 认证3.1 认证页面3.2.安全配置3.2.Spring Security初始化2.3.默认根路径请求2.4.认证成功页面2.5 测试4 授权5 小结 1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Sprin
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
SpringSecurity授权
小钟不想敲代码
05-28 5579
SpringSecurity授权
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
Spring Security 之 JWT介绍
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
09-14 1869
Json Web Token 简称JWT,是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递JSON对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥来签名,防止被篡改。官网: https://jwt.io标准:https://tools.ietf.org/html/rfc7519JWT基于JSON,非常方便解析可以在令牌中自定义丰富的内容,易扩展。
SpringSecurity超详细入门介绍
波波烤鸭的博客
12-02 2万+
  权限管理是我们项目中必不可少的一环,实际项目中我们可以自己设计权限管理模块,也可以使用市面上成熟的权限管理框架,比如 shiro或者 SpringSecurity等,前面已经详细的介绍过了 shiro 的使用,本文开始就给大家详细的来介绍SpringSecurity的使用。 内容包括 spring+springmvc基于配置的方式详细介绍SpringSecurity springboot整...
Spring Security 概述
m0_51976820的博客
04-09 2041
Spring Security 概述
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
第三章 SpringBoot项目构建 - 整合Spring Security入门
想做一个小孩的杨先生的博客
09-11 579
Spring Security 是一个强大的框架,用于保护基于 Spring 的应用程序。它提供了全面的认证和授权功能,使得安全机制与应用逻辑相分离。以下是 Spring Security 的基本使用指南,包括如何集成 Spring Security、定义用户角色和权限、以及自定义安全配置。在 Java 生态中,目前有 Spring Security 和 Apache Shiro 两个安全框架,可以完成认证和授权的功能。
SpringCloud gateway
c1tenj2的博客
09-11 1062
由此案例,我们可以感受到gateway带给我们的方便。有了gateway,前端就只需要请求8080端口,以模块进行路径的书写,就能访问所有的后端接口了,同时gateway也解决了跨域的问题。
基于spring的博客系统(总)
2202_76101487的博客
09-12 1374
本文写了基于spring mvc创建的博客系统;
基于SpringBoot的求职招聘管理系统
计算机学姐的博客
09-10 993
【2025最新】基于Java+SpringBoot+Vue+MySQL的求职招聘管理系统,前后端分离。
基于SpringBoot的校园二手商品交易平台的设计与实现
最新发布
2401_87134477的博客
09-14 1116
就以校园二手交易平台的用户及数据来分析,本系统还是有很大的发展前景和潜力的,在以后的发展中可以不仅局限于本校,可以与本市的其他高校联合建立更完善完整地平台体系,这样商品的种类以及用户量都会增多,更加便于学生之间的物品交换以及资源的再利用率。党的十九大报告要求继续深化生态建设,将我国建设成节约型社会,而节约型社会呼唤节约型校园,建设节约型校园是落实科学发展观、建设和谐校园的客观要求,而校园二手物品交易网站的建设便是推进实现校园闲置物品循环利用,促进和谐校园建设的重要环节。大力推行节约型的校园建设。
spring综合性利用工具-SpringBootVul-GUI(五)
siu~
09-12 820
一个半自动化springboot打点工具,内置目前springboot所有漏洞
springsecurity介绍
04-15
Spring Security是一个基于Spring框架的安全性解决方案,用于保护Java应用程序的安全性。它提供了一套全面的安全性功能,包括身份验证、授权、密码管理和会话管理等。 Spring Security的主要特点包括: 1. 身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值