简介
Spring是非常流行和成功的Java应用开发框架,Spring Security正是Spring家族中的成员。 Spring Security基于Spring框架,提供了一套Web应用安全性的完整解决方案。
Spring Security关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。
(1)用户认证
验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录。
(2)用户授权
用户授权指的是验证某个用户是否有权限执行某个操作。
在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点说就是系统判断用户是否有权限去做某些事情。
(3)Spring Security 特点
和Spring 无缝整合
全面的权限控制
专门为Web开发而设计
旧版本不能脱离Web环境使用
新版本对整个框架进行了分层抽取,分成了核心模块和Web模块。单独引入核心模块就可以脱离Web环境。
重量级
一般来说,常见的安全技术栈的组合是这样的:
SSM + Shiro
Spring Boot/Spring Cloud + Spring Security
自从有了Spring Boot 之后,Spring Boot 对于 Spring Security 提供了自动配置方案,可以使用更少的配置来使用Spring Security .
入门案例
(1)创建一个工程
(2)导入依赖
spring-boot-starter 后面加上web
(3)测试方法
(4)设置端口号(可不设置)
(5)启动(跳转到登录页面)
账户默认为user , 密码在启动时会在控制台 输出
(6)在浏览器输入访问路径
Spring Security 本质
Spring Security 本质是一个过滤器链(有很多过滤器)。
重点看三个过滤器:
(1)Filter Security Interceptor
是一个方法级的权限过滤器,基本位于过滤器链的最底部。
(2)Exception Translation Filter
是一个异常过滤器,用来处理在认证授权过程中抛出的异常
(3)Username Password Authentication Filter
对/login的POST请求做拦截,校验表单中用户名,密码
(4)过滤器是如何进行加载的?
使用Spring Security 配置过滤器
*Delegating Filter Proxy
调用initDelegate 初始化方法
初始化方法initDelegate