Spring Security是什么?
Spring Security 是一种基于Spring AOP、Servlet过滤器的、相对复杂的安全管理框架,功能比 Shiro 更加强大,权限控制细粒度更高,对 OAuth 2 的支持也更友好。它同时在WEB请求和方法调用时处理身份确认和授权。由于 Spring Security 源自 Spring 家族,因此可以和 Spring 框架无缝整合,在Spring Boot 中提供了自动化的配置方案,可以让 Spring Security 的使用更加便捷。
Spring Security 参考手册
Spring Security能干什么?
为基于Spring的应用程序提供身份验证、授权支持和攻击防护。
安全 = 认证 + 授权
认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通过后发生的,控制不同的用户能够访问不同资源的过程。
什么是认证?
用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。大家每天都在刷手机,常用的软件有微信、支付宝、头条等。在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信。这个输入账号和密码登录微信的过程就是认证。
认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。
什么是会话?
用户认证通过后,为了避免用户的每次操作都进行认证,所以我们可以将用户的信息保存在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的机制有基于SESSION的方式、基于TOKEN的方式等等。一般前后端分离架构的项目,建议基于TOKEN的方式来保存当前用户的登录状态。
方式 | 描述 |
---|---|
SESSION方式 | 由SERVLET规范定制,服务端要存储SESSION信息,客户端要支持COOKIE |
TOKEN方式 | 服务端一般不需要存储TOKEN,客户端没有存储限制 |
什么是授权?
授权就是用户认证通过后,根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则用户正常访问,没有权限则拒绝访问。
如何进行授权即如何对用户访问资源进行控制,可以抽象为:谁对哪些资源进行哪些操作。
如何使用Spring Security?
①. 增加依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
②. 配置口令
可以在application.yml中自定义口令,默认的用户名是user,而登录密码则在每次启动项目时随机生成,可以在项目启动日志中找到。
spring:
security:
user:
name: admin # spring security 安全认证的默认账号与密码
password: 123456
roles: admin
仅仅经过以上两步,项目中所有的资源都会被简单的保护起来,访问任何资源都会自动跳转到登录页面,这个登录页面是由Spring Security默认提供的,当然也可以自定义。