Spring Security系列教程01--初识Spring Security

已于 2023-03-28 10:31:44 修改
阅读量122 收藏
点赞数
分类专栏: Spring Security 文章标签: spring 后端
于 2023-02-07 15:50:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38737545/article/details/128919061
版权

初识Spring Security

一、Spring Security概念

Spring Security是一个功能强大且高度可定制的,主要负责为Java程序提供声明式的 身份验证和访问控制 的安全框架。其前身是Acegi Security,后来被收纳为Spring的一个子项目,并更名为了Spring Security。
Spring Security的底层主要是 基于 Spring AOP 和 Servlet 过滤器 来实现安全控制,它提供了全面的安全解决方案,同时授权粒度可以在 Web请求级和方法调用级 来处理身份确认和授权。

二、Spring Security功能

核心功能:

  • 认证:解决“你是谁”的问题
  • 授权:解决“你能干什么”的问题,支持基于URL的请求授权,方法访问的授权,对象访问授权
  • 防护攻击:解决系统安全问题
  • 加密功能:用户密码加密
  • 会话管理:对Session进行管理
  • RememberMe功能:实现记住我功能,是token持久化

三、Spring Security支持对身份认证功能

学习Spring Security除了要掌握核心功能外,还需要对身份认证简单了解。Spring Security的身份验证模式大多数是由第三方提供的。
说起Spring Security不得不提另外一个安全框架,Shiro安全框架。

四、Shiro起源

Shiro安全框架是Apache下的一个开源框架,提供了身份验证、授权、密码学和会话管理等功能。它的前身是 JSecurity,2004 年,Les Hazlewood 和 Jeremy Haile 创办了 Jsecurity。当时他们找不到适用于应用程序级别的合适 Java 安全框架,同时又对 JAAS 非常失望,于是就搞了Shiro这个框架。
2004 年到 2008 年期间,JSecurity 托管在 SourceForge 上,贡献者包括 Peter Ledbrook、Alan Ditzel 和 Tim Veil。
2008 年,JSecurity 项目贡献给了 Apache 软件基金会(ASF),并被接纳成为 Apache Incubator 项目,由导师管理,目标是成为一个顶级 Apache 项目。期间,Jsecurity 曾短暂更名为 Ki,随后因商标问题被社区更名为“Shiro”。随后项目持续在 Apache Incubator 中孵化,并增加了贡献者 KalleKorhonen。
2010 年 7 月,Shiro 社区发布了 1.0 版,随后社区创建了其项目管理委员会,并选举 Les Hazlewood 为主席。2010 年 9 月 22 日,Shrio 成为 Apache 软件基金会的顶级项目(TLP)。

五、Shiro功能

Apache Shiro 也是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。Apache Shiro 的首要目标是易于使用和理解,因为安全有时候是很复杂的,甚至是痛苦的,但其实没必要这样。框架应该尽可能掩盖复杂的地方,暴露一个干净而直观的 API,来简化开发人员在应用程序安全上所花费的时间。
核心功能:
-Authentication:简称为“登录”,

  • Authorization:访问控制的过程
  • Session Message:会话管理
  • Cryptography:通过加密算法保持数据安全
    除此之外,Shiro 也提供了额外的功能,来解决在不同环境下所面临的安全问题:
  • Web Support:web支持的API能够轻松的保护Web应用程序
  • Caching:缓存是用来保证操作快速而又高效的
  • Concurrency:Apache Shiro 利用它的并发特性来支持多线程应用程序
  • Testing:测试功能来帮助编写单元测试和集成测试
  • Run As:一个允许用户以另一个用户身份(如果允许) 运行的功能,有时候在管理脚本时很有用
  • Remember Me:在会话中记住用户的身份,这样用户只需要在强制登录时登录

六、Shiro的特点

Shiro 框架具有直观、易用 等特性,同时也能提供了健壮的安全性,虽然它的功能不如 Spring Security 那么强大,但是在常规的企业级应用中,其实也够用了。

七、Spring Security框架和Shiro框架比较

Spring Secuirty优点:

  1. 由于Spring Security是基于Spring开发的,所以契合度要比Shiro好
  2. Spring Security的功能比Shiro的强大,尤其是在安全防护方面
  3. Spring Security社区资源比Shiro更多
  4. Spring Security具备良好的拓展性,可以满足自定义要求
  5. Spring Security对OAuth2框架支持更好

Spring Security缺点:

  1. Shiro是一个轻量、简单、易于集成的老牌安全框架,而且使用流程简单清晰;反观Spring Security,则属于是重量级、配置繁琐、学习使用门槛高的安全框架。
  2. Shiro依赖性低,不需要任何框架和容器,可以独立运行,而Spring Security需要依赖Spring容器。

现在常见的安全技术栈

  • SSM + Shiro
  • Spring Boot/Spring Cloud + Spring Security

就目前而言,Shiro 最大的问题在于和 Spring 家族的产品进行整合时较为不便。在 Spring Boot 推出的很长一段时间里,Shiro 都没有提供相应的 starter,后来虽然有一个 shiro-spring-boot-web-starter 出来,但配置并没有简化多少。所以在 Spring Boot/Spring Cloud 技术栈的微服务项目中,Shiro 几乎不存在优势。
但如果你是进行传统的 SSM 项目开发,而不是微服务项目,那么无疑使用 Shiro 是最方便省事的,因为它足够简单,足够轻量级。

指尖下的技术
关注
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity基础教程
我有故人折剑去,斩尽春风不曾归
03-22 1194
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。​ 权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
Spring Security系列教程01--Spring Security系列教程简介
一一哥
09-07 1942
Author:一一哥@IT私塾 Version:1.0.0 [TOC] 前言 Spring Security 是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权功能。其前身是Acegi Security,在被收纳为Spring的子项目后更名为SpringSecurity。 目前Spring Security 最新版本是 5.5.0 版本,新增了原生OAuth框架,并支持更加现代化的密码加密方式。随着SpringBoot的普及,在Java安全应用领域,Spring Secu
Spring Security系列教程02--初识Spring Security
一一哥
09-07 1760
一. Spring Security概念 Spring Security是一个功能强大且高度可定制的,主要负责为Java程序提供声明式的 身份验证和访问控制 的安全框架。其前身是Acegi Security,后来被收纳为Spring的一个子项目,并更名为了Spring SecuritySpring Security的底层主要是 基于 Spring AOP 和 Servlet 过滤器 来实现安全控制,它提供了全面的安全解决方案,同时授权粒度可以在 Web请求级和方法调用级 来处理身份确认和授权。 二
SpringSecurity系列教程汇总
一一哥
09-07 6882
因为CSDN没有分类归纳博客的功能,所以特写本帖汇总Spring Security 5.x系列教程,方便大家查阅! Spring Security系列教程01--Spring Security系列教程简介 Spring Security系列教程02--初识Spring Security Spring Security系列教程03--创建SpringSecurity项目 Spring Security系列教程04--实现HTTP基本认证 Spring Security系列教程05--实现Form表单
SpringSecurity-day01-初识权限管理
SSbandianH的博客
01-11 123
2.1权限管理概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个非常重要的名词: 认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份。 授权:系统根据当前用户的角色,给其授予对应可以操作的权限资源 2.2完成权限管理需要三个对象 用户:主要包含用户名,密码和当前用户的角色信息,可实现认证操作。 角色:主要包...
Spring Security系列教程30--系列文章总结
一一哥
11-08 808
一. 内容回顾 截止到本篇文章,一一哥 就带各位详细地学完了SpringSecurity中的各个核心内容,并结合源码带大家研读了SpringSecurity的底层设计。如果你认真地看完了我这个系列的每一篇文章,并跟着每篇教程中的代码编写了对应的案例,现在应该就可以达到从一开始对SpringSecurity的懵懂无知,到今天的熟练使用了。 最后 壹哥 再把整个系列的内容给各位梳理一下,方便各位复习掌握,我在这里做了一个SpringSecurity核心内容的思维导图,咱们一起看看吧。 1. Sprin
1-初识SpringSecurity:user in-memory
Heartsuit的博客
12-06 488
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。 实验0:Hello SpringSecurity 第一步,新建一个SpringBoot项目,起名:springboot-security,核心依赖为Web,此处先不引入SpringSecurity依赖。 <dependencies> <dependency> <groupId>org.springframework.boot&
Spring Security(一)初识Spring Security
TPH_BETTER.的博客
12-27 2525
一、 Spring Security概念 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的 授权功能。是一款非常优秀的权限管理框架。 二、Spring Security简单入门 1、 创建web工程并导入jar包 Spring Security主要jar包功能介绍 ① spring-security-core.jar 核心包,任何Spring Security功能都需要此包。 ② spring-security-web.ja
初识 Spring Security - v1.1.pdf
08-27
http://www.springframework.org/schema/security/spring-security-3.1.xsd"> <!-- 配置Spring Security --> <security:http auto-config="true"> <security:intercept-url pattern="/admin/**" access="hasRole...
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
热门推荐
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Spring Boot 2.x实战91 - 响应式编程6 - 响应式安全控制(Reactive Spring Security
汪云飞记录本
07-08 3318
5. Reactive Spring Security 5.1 Reactive Spring Security原理 Spring MVC的Security是通过Servlet的Filter实现的,而WebFlux的响应式Security是基于WebFilter实现的,由一些列的WebFilter形成的过滤器链。 认证 Spring WebFlux下的响应式安全和Spring MVC下的安全认证机制也是有概念对应的: Spring WebFlux Security Spring Web MVC
阿博图书馆管理:SpringBoot实战指南
2402_85761468的博客
09-27 362
MySQL数据库中数据的分表分库存储方式能够最大程度的避免数据同步代码的性能损耗,使得数据库的存取速度有了很大提升,而且同时保持了很大的灵活性。通过对系统功能模块分析可以得知,主要是对项目元素组合、分解和更换做出相应的单元,再通过系统模块来规划出一个原则,系统的设计首先是围绕用户需求进行开发设计的,主要是为了能够更好的管理信息和方便用户,其次就是围绕阿博图书馆管理系统进行设计,最终的设计必须要满足用户的需求,这样才能够实现系统的最大意义和价值,并且在设计的时候一定要避免代码相互重复的情况发生。
springboot+neo4j demo
极客栈
09-27 270
这个简单的示例展示了如何在Spring Boot应用中集成Neo4j,包括创建节点实体、使用Neo4j仓库接口以及创建一个简单的REST控制器。这个示例可以作为开发者学习和实践Spring Boot与Neo4j集成的起点。以下是一个简单的Spring Boot与Neo4j集成的示例代码。
基于JavaWeb开发的Java+SpringMvc+vue+element实现驾校管理系统详细设计
央顺科技官方博客
09-24 841
机遇与挑战始终并存。在开放的互联网平台面前,驾校预约管理系统的信息管理面临着巨大的挑战。传统的管理模式局限于简单数据的管理,无法适应不断变化的市场格局。在早期阶段,在将计算机技术和网络技术融入驾校预约管理系统数据管理方法之前,所有管理方式都通过人工操作完成了管理信息的。系统管理也都将通过计算机进行整体智能化操作,对于驾校预约管理系统所牵扯的管理及数据保存都是非常多的,举例像所有详细信息包括,管理员;首页、个人中心、学员管理、驾校教练管理、驾校车辆管理、预约管理、取消预约管理、驾校公告管理、系统管理。
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
最新发布
weixin_64446270的博客
09-27 940
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
微服务--SpringAMQP
weixin_51933701的博客
09-27 682
高级消息队列协议,是应用程序之间传递业务消息的开放标准,与语言和平台无关,更符合微服务架构中独立性的要求。:基于AMQP协议定义的一套API规范,提供了模板来发送和接收消息。是基础抽象,是底层的默认实现。SpringAMQP利用SpringBoot实现了自动装配,使用非常方便。
SpringBoot的概述与搭建
2303_77640525的博客
09-27 791
一.SpringBoot的概述一.SpringBoot的概述Spring Boot 是由 Pivotal 团队提供的在 spring 框架基础之上开发的框架,其设计目的是用来。SpirngBoot 本身并不提供 Spring 框架的核心特性以及扩展功能,只是用于快速、敏捷地开发新一代基于 Spring 框架的应用程序。也就是说,它并不是用来替代 Spring 的解决方案,而是和 Spring 框架紧密结合用于提升 Spring 开发者体验的工具。Spring Boot 以。
SpringSecurity3.0实战教程-吴老师教学讲义
例如,`spring-security-core`是使用SpringSecurity的基础,包含了认证和授权的核心实现;`spring-security-web`则包含了过滤器和Web安全相关的架构代码,这些都是构建Web应用程序安全保护的关键组件。 通过这一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值