文章目录
一、简单介绍
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
1.1 集成特性
- 对身份验证和授权的全面且可扩展的支持
- 防御会话固定、点击劫持,跨站请求伪造等攻击
- 支持 Servlet API 集成
- 支持与 Spring Web MVC 集成
二、访问控制
项目 | Value |
---|---|
anyRequest | 匹配所有请求路径 |
access | SpringEl表达式结果为true时可以访问 |
anonymous | 匿名可以访问 |
denyAll | 用户不能访问 |
fullyAuthenticated | 用户完全认证可以访问(非remember-me下自动登录) |
hasAnyAuthority | 如果有参数,参数表示权限,则其中任何一个权限可以访问 | <