安全简介
在Web开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非工能性需求,但是应该在应用开发的初期就考虑进来。
市面上比较有名的Shiro,Spring Security
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于Spring的应用程序标准。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求。
一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对于一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。
对于上面提到的两种应用情景,Spring Security框架都有很好的支持。在用户认证方面,Spring Security框架支持主流的认证方式,包括Http基本认证,Http表单验证,Http摘要认证,OPenID和LDAP等。在用户授权方面,Spring Security提供了基于角色的访问控制和访问控制列表(Access Control List,ACL)可以对应用中的领域对象进行细粒度的控制。
认识Spring Security
Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,它可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-start-security模块,进行少量配置,即可实现强大的安全管理。
WebSecurityConfigureAdapter自定义Security策略
AuthenticationManagerBuilder 自定义认证策略
@EnableWebSecurity:开启WebSecurity模式
Spring Security的两个主要目标是认证和授权(访问控制)
认证(Authentication)
身份验证是关于您的凭据,比如用户名。用户ID和密码,来验证用户身份
授权(Authorization)授权发生在系统成功验证用户身份后,最终会授予用户访问资源(如信息,文件,数据库,资金,位置)的完全权限
网友评论