接下来段时间打算学习下Robert Winch写的spring security 3.1这本书,记下笔记顺便放到blog.主要的使用环境:
jdk7+maven3.1.1+jetty9.1.3+idea13.0.1+spring mvc3.1.0+spring security3.1.0
开发安全应用,认证(Authentication)和授权(Authorization)是两个重要的安全概念.
认证用在识别谁在尝试请求资源.在不同的场景,你对认证可能比较熟悉:
1.基于凭证的认证(Credential-based authentication):常见的用户名与密码相结合的认证属于这种.
2.两因素认证(Two-factor authentication):密码与硬件设备相结合,例如ATM提款机认证.
3.硬件认证(Hardware authentication):使用车钥匙启动车.这是硬件认证的典型例子.
授权使用认证过程中进行了验证的信息,以确定是否应授予访问权限到特定资源.
授权通常包含两方面
1.一个认证过的主体对一个或多个权限(通常称为角色)的映射。例如,您的网站的一个临时用户可能被视为具有访客权限,
而站点管理员可能会被分配管理权限.
2.系统的安全资源的权限分配。这通常是在系统开发时,既可以通过在代码中显式声明,或通过配置参数.
例如,允许查看其他用户的活动的画面应该只提供给具有管理权限的用户.
更易懂的理解:
认证是为用户建立一个他所声明的主体的过程.(主体--一般是指用户,设备或可以在你系统中执行行动的其他系统).
授权是指的一个用户能否在你的应用中执行某个操作.
jdk7+maven3.1.1+jetty9.1.3+idea13.0.1+spring mvc3.1.0+spring security3.1.0
开发安全应用,认证(Authentication)和授权(Authorization)是两个重要的安全概念.
认证用在识别谁在尝试请求资源.在不同的场景,你对认证可能比较熟悉:
1.基于凭证的认证(Credential-based authentication):常见的用户名与密码相结合的认证属于这种.
2.两因素认证(Two-factor authentication):密码与硬件设备相结合,例如ATM提款机认证.
3.硬件认证(Hardware authentication):使用车钥匙启动车.这是硬件认证的典型例子.
授权使用认证过程中进行了验证的信息,以确定是否应授予访问权限到特定资源.
授权通常包含两方面
1.一个认证过的主体对一个或多个权限(通常称为角色)的映射。例如,您的网站的一个临时用户可能被视为具有访客权限,
而站点管理员可能会被分配管理权限.
2.系统的安全资源的权限分配。这通常是在系统开发时,既可以通过在代码中显式声明,或通过配置参数.
例如,允许查看其他用户的活动的画面应该只提供给具有管理权限的用户.
更易懂的理解:
认证是为用户建立一个他所声明的主体的过程.(主体--一般是指用户,设备或可以在你系统中执行行动的其他系统).
授权是指的一个用户能否在你的应用中执行某个操作.