为什么越来越多程序员使用SpringSecurity，这些原因你都知道吗？

1|2 什么是安全框架

安全框架顾名思义，就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求，如身份验证、授权和加密方式。不使用安全框架之前，我们需要手动处理每个资源的访问控制，针对不同的项目都需要做不同的处理，此时就会显得非常麻烦，并且低效率引起的额外开销会延缓开发周期。使用安全框架，使开发团队能够选择最适合这些需求的框架，可以通过配置的方式实现对资源的访问限制，使得开发更加的高效。

1|2常用的安全框架

Spring Security: Spring 家族一员，是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean，充分利用了 Spring IoC（控制反转）、DI（依赖注入）和 AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

Apache Shiro:一个功能强大且易于使用的Java安全框架，提供了认证、授权、加密和会话管理功能。使用 Shiro 的易于理解的API，您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

1|3SpringSecurity 简介

Spring Security 是一个高度自定义的安全框架，利用 Spring loC、DI 和 AOP 功能，为系统提供了声明式安全访问控制功能，减少了为系统安全而编写大星重复代码的工作。

使用 Spring Secruity 的原因有很多，但大部分都是发现了 javaEE 的 Servlet 规范或 EJ8 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR 或 EAR 级别无法移植，因此如果你更换服务器环境，还有大星工作去重新配置你的应用程序，使用 Spring Security 解决了这些问题，并且提供了可定制的安全功能，比如认证和授权。

SpringBoot 没有发布之前，Shiro 应用更加广泛，因为 Shiro 是一个强大且易用的 Java 安全框架，能够非常清晰的处理身份验证、授权、管理会话以及密码加密。利用其易于理解的API，可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序。但是 Shiro 只是一个框架而已，其中的内容需要自己的去构建，前后是自己的，中间是Shiro帮我们去搭建和配置好的。

SpringBoot 发布后，随着其快速发展，Spring Security 重新进入人们的视野。SpringBoot 解决了 Spring Security 各种复杂的配置，Spring Security 在我们进行用户认证以及授予权限的时候，通过各种各样的拦截器来控制权限的访问，从而实现安全，也就是说 Spring Security 除了不能脱离 Spring，Shiro 的功能它都有。

• 在用户认证方面，Spring Security 框架支持主流的认证方式，包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。
• 在用户授权方面，Spring Security 提供了基于角色的访问控制和访问控制列表（Access Control List，ACL），可以对应用中的领域对象进行细粒度的控制。

1|4SpringSecurity 入门

引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

导入配置

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                // 禁用csrf（跨站请求伪造）
                .cors().and().csrf().disable()
                // 设置表单登陆以及登录页面，自动开启登录页，如果没有登录，没有权限就会来到登录页面
                .formLogin().loginPage("/login.html").and()
                // 过滤请求
                .authorizeRequests()
                // 访问此地址不需要进行身份认证，允许直接访问，防止重定向死循环
                .antMatchers("/login.html").permitAll()
                // 除上面外的所有请求全部需要鉴权认证，访问任何资源都需要身份认证
                .anyRequest().authenticated();
    }
}

登录测试

启动服务之后，如果只实现一个 WebSecurityConfigurerAdapter 然后重写一下 configure 方法，效果会默认使用Spring Security 的登录页 ，同时项目启动时后台会打印出一个默认的密码，然后使用任意账号就可以进行登录访问指定的资源。

2|0SpringSecurity 核心

2|1基本原理

Spring Security 所解决的问题就是安全访问控制，而安全访问控制功能其实就是对所有进入系统的请求进行拦截&#x