一、Spring Security框架概述1、概述Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案;
2、核心功能正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能;
3、用户认证用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录;
4、用户授权用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情;
5、Spring Security 与 ShiroSpring Security:概述:
Spring Security是Spring 技术栈的组成部分;
特点:
和 Spring 无缝整合;
全面的权限控制;
专门为 Web 开发而设计:旧版本不能脱离 Web 环境使用;新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块,单独引入核心模块就可以脱离 Web 环境;
重量级;
Shiro:概述:
Apache 旗下的轻量级权限控制框架;
特点:
轻量级:
Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现;
通用性:
好处:不局限于 Web 环境,可以脱离 Web 环境使用;
缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制;
6、常见的安全管理技术栈的组合 SSM + Shiro;
Spring Boot/Spring Cloud + Spring Security;
注意:以上只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行的;
二、Spring Security入门案例1、步骤第一步:创建springboot项目;
第二步:修改springboot项目版本;
第三步:引入相关依赖;
第四步:编写controller进行测试;
2、入门案例第一步:创建springboot项目(配置之后,直接下一步,完成,暂时不导入任何依赖)
第二步:修改springboot项目版本为2.2.1 RELEASE第三步:引入Spring Security相关依赖代码语言:javascript复制
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/test")
public class TestController {
@GetMapping("hello")
public String hello(){
return "Hello Spring Security!";
}
}第五步:改端口号,防止冲突第六步:启动测试访问http://localhost:8111,发现浏览器自动跳转到了http://localhost:8111/login
这里是Spring Security进行了拦截,需要登录通过验证才能访问,默认用户名是user,密码在项目启动的控制台打印出来了:
第七步:登陆测试第八步:访问测试访问http://localhost:8111/test/hello