基础概念介绍
简单认识了解安全框架中的基础定义与发展。
权限管理
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统控制,按照安全规则和安全策略控制用户可以访问而且只能访问自己被授权的资源
权限管理包括用户身份认证和授权两部分,简称认证授权,对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限才可以访问。
认证
身份认证,就是判断一个用户是否为合法用户的处理过程,最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件key等刷卡系统,则需要刷卡。
授权
授权,即访问控制,控制谁能访问哪些资源,主体进行身份认证后需要分配权限方可访问,对于某些资源没有权限是无法访问的。
解决方案
和其他领域不同,在Java企业级开发中,安全管理框架非常少,目前比较常见的就是:
Shiro
- shiro本身是一个老牌的安全管理框架,有着众多的有点,例如轻量、简单、易于集成,可以在javase环境中使用等,不过,在微服务时代,Shiro就显得力不从心了,在微服务面前和扩展方面,无法充分展示自己的优势。
SpringSecurity
- SpringSercurity作为spring家族中的一员,在和spring家族的其他成员如springboot、springcloud等进行整合时,具有其他框架无可比拟的优势,同时对OAuth2有着良好的支持,再加上SpringCloud对SpringSecurity不断加持,让SpringSecurity不知不觉中成为微服务项目中的首选安全管理方案。
简介
- 官方地址:官方网址
Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.
是一个功能强大、可高度定制的身份验证和访问控制框架。它是保护基于spring应用程序的事实标准。
Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements.
它是一个面向java应用程序提供身份验证和安全性的框架,与所有spring项目一样,Spring S而卒日体育的真正威力在于它可以轻松地扩展以满足定制需求。 - Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。
- Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目
- Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
