一 认证和授权
1.1 认证和授权
Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括 用户认证(Authentication)和用户授权(Authorization)两个部分。
用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的
权限框架核心 用户认证 Authentication 和 用户授权(Authorization)
1.2 shiro与spring security
1.shiro比spring security出现的早,shiro的功能没有spring security功能强大, SpringSecurity除了基本的shiro的认证和授权以外,还对分布式,oauth认证,单点登录 都比较友好支持。
2.shiro简单,功能没有那么多,容易学,SpringSecurity稍微复杂一点。
3.SpringSecurity和Spring是无缝衔接。比Shiro好的多.. 特别是现在SpringBoot流行的当下。SpringSecurity更能发挥他的特点。
1.3 RBAC
RBAC 是基于 角色的访问控制(Role-Based Access Controll) 。
用户 和 角色 -- 多对多关系 (多个用户可以拥有一个角色,一个角色可以赋给多个用户) -- 建一个中间表
角色 和 权限 -- 多对多关系 (多个权限可以拥有一个角色,一个角色可以赋给多个权限) -- 建一个中间表
权限 和 资源 -- 这里可以是一对一 也可以是 一对多 (一个权限 对应 一个资源 也可以一个权限对应多个资源)
1.4 认证
1.4.1 基于内存的认证
1.登录页面
2.配置security 的配置类
3.流程
1.4.3 基于数据库的认证
1.设计好用户表,角色表,用户角色关联表
2.查询出用户信息;通过serverice调dao层,将信息存入UserDetails中,然后再websecurityconfig文件中调用service的方法。
1.4.4 总结:
认证就是在SecurityConfig配置文件中,在configure方法中设置请求的拦截,和在configureGlobal方法中加载用户角色信息。
1.5 授权
1.5.1 配置步骤
实现的步骤:
(1) 首先把该用户存储在数据库的 权限和角色 查询出来,交给SpringSecurity框架去管理
(2)该框架在发现你在操作某个内容的时候,就会把您的权限拿出来 和你操作的内容进行对比一下,如果存在 就可以操作,如果不存在就不能操作.
1.dao层去数据库中查询改用户拥有的权限
2.在service层中,查询用户的角色对应的权限放入userDetails中
3. securityconfig中进行加载,放到security的框架中
4.设置权限不够处理方式
注意一万个注意:在配置类中添加
@EnableGlobalMethodSecurity(prePostEnabled = true) //开启细粒度控制
5. 测试
没有权限的则访问此地址:则提示403 问题;有权限的进行登录。
1.5.2 流程
@EnableWebSecurity 引用了 WebSecurityConfiguration 配置类 和 @EnableGlobalAuthentication
WebSecurityConfiguration 就是与授权相关的配置;该类的源码里面有个 springSecurityFilterChain()方法 ,就去执行一堆过滤器链。如果下图:
FilterSecurityInterceptor 是整个Security filter链中的最后一个,同时它也是最重要的一个,它的主要功能就是判断认证成功的用户是否有 权限访问接口,其最主要的处理方法就是 调用父类(AbstractSecurityInterceptor)的 super.beforeInvocation()。