1.安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。
用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。
用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。
用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。
一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。
2.SpringSecurity主要用于认证,授权不方便;原因是没有图形化界面,不方便后台管理员管理;
Spring Security优点: 提供了一套可用的安全框架;
提供了很多用户认证功能,实现相关接口,节约大量开发工作;
基于spring,易于集成到spring项目中,且封装了许多方法;
Spring Security缺点: 配置文件多,角色被编码到配置文件和源文件中,RBAC不明显;
对于系统中用户、角色、权限之间的关系,没有可操作界面
大数据量情况下,几乎不可用;
Apache Shiro功能更多,认证和授权都很方便;官方推荐的安全框架就是Apache Shiro