导语
如何设计一个高效健全的安全策略是保证企业数据安全的的关键,笔者见过设计的比较优秀的安全管理策略也见过设计的比较Low的安全管理策略。如何保证高效的安全策略,在Java中Spring官方提供了安全策略组件Spring Security当然还有很多的安全策略的框架例如Shiro等。下面就对Spring Security进行详细说明。
文章目录
Spring Security介绍
&emps;Spring Security是Spring官方提供的Spring企业级应用安全访问控制解决方案的安全框架。由于是Spring官方提供所以支持了很多的Spring的应用上下文配置,充分的利用了Spring IOC与ID、AOP等技术。为企业级应用提供了声明式的安全解决方案。减少了企业级安全解决方案的设计难度。当然也可以使用其他的优秀安全框架。
在很久之前,Spring Security是基于Spring AOP和Servlet过滤器来实现的安全框架,为什么这样设计呢?首先Servlet 是一个比较健全的服务器端体系,如果要在Servlet上提供一个安全控制策略,并不能直接去修改Servlet,也就是推翻Servlet来重新实现。那么基于这样一个场景,Spring AOP就提供了解决方案,在Servlet中注入切面,实现对于Servlet的增强处理。这样就提供了一个全面的安全解决方案,同时在Web请求和方法调用层面上都可以实现身份认证和授权处理,为J2EE提供了企业级安全解决方案。
Spring 官方为SpringBoot提供了集成Spring Security的组件包spring-boot-starter-security,方便集成Spring Security。