凯子の博客

代码的成神之路

0%

Spring Security——框架简介

发表于 分类于 Valine: 2.4k 2 分钟
Spring Security——框架简介

Spring Security 概要

  • Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。
  • 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
    1. 用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录 。
    2. 用户授权指的是:验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以 进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的 权限。通俗点讲就是系统判断用户是否有权限去做某些事情。

Spring Security 同款产品对比

  • SpringSecurity 特点:
    1. 和 Spring 无缝整合。
    2. 全面的权限控制。
    3. 专门为 Web 开发而设计。
      1. 旧版本不能脱离 Web 环境使用。
      2. 新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独 引入核心模块就可以脱离 Web 环境。
    4. 重量级。
  • Shiro Apache 旗下的轻量级权限控制框架, 特点:
    1. 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求 的互联网应用有更好表现。
    2. 通用性。
      1. 好处:不局限于 Web 环境,可以脱离 Web 环境使用。
      2. 缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制。
  • Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之 前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直 是 Shiro 的天下。
  • 相对于 Shiro,在 SSM 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。
  • 自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了自动化配置方 案,可以使用更少的配置来使用 Spring Security。 因此,一般来说,常见的安全管理技术栈的组合是这样的:
    1. SSM + Shiro
    2. Spring Boot/Spring Cloud + Spring Security
  • 以上只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行 的。

SpringSecurity简单案例

创建项目

  • 创建一个SpringBoot项目

添加依赖

1
2
3
4
5
6
7
8
9
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
  • 编写配置类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
@Configuration
//表示该配置是Security的配置类
@EnableWebSecurity
//开启授权注解
@EnableGlobalMethodSecurity(securedEnabled = true)
//Security的配置类需要继承自WebSecurityConfigurerAdapter
public class SecurityConfigextends WebSecurityConfigurerAdapter {
    /**
     * 该重写方法是用来配置Security的一些访问规则
     */
	@Override
	protected void configure(HttpSecurity http) throws Exception {
         http.formLogin() // 表单登录
        .and()
         .authorizeRequests() // 认证配置
        .anyRequest() // 任何请求
        .authenticated(); // 都需要身份验证
	}
    /**
     * 该方法是用来配置登录时认证信息的来源
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //配置了一个内存级别的用户,他拥有ADMIN的角色
        auth.inMemoryAuthentication()
                .withUser("zhangsan")
                .password("$2a$10$VXEGCuO40DmEZy1I93qfq.kA5Ypyo4WCUuhfkxbPbmhuQcOZZZaA6")
                .roles("ADMIN");
    }
}
  • 用户名、密码和角色都可以在配置文件中进行配置
1
2
3
4
5
6
spring:  
  security:
    user:
      name: xxx
      password: xxx
      roles: xxx
-------------本文结束感谢您的阅读-------------