一、Spring Security介绍

spring security 是基于 spring 的安全框架。它提供全面的安全性解决方案，同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上，spring security 充分利用了依赖注入(DI)和面向切面编程(AOP)功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。是一个轻量级的安全框架。它与 Spring MVC 有很好地集成.

核心功能：认证、验证

原理：基于Filter , Servlet, AOP 实现身份认证和权限验证

二、实例驱动学习

使用的框架和技术：

spring boot 2.0.6 版本

spring security 5.0.9 版本

maven 3 以上

jdk8 以上

idea 2019

案例(使用内存中的用户信息)

1)使用：WebSecurityConfigurerAdapter 控制安全管理的内容。

需要做的使用：继承WebSecurityConfigurerAdapter，重写方法。实现自定义的认证信息。重写下面的方法。

protected void configure(AuthenticationManagerBuilder auth)

2)spring security 5 版本要求密码比较加密，否则报错

java.lang.IllegalArgumentException: There is no PasswordEncoder

mapped for the id "null"

实现密码加密：

1)创建用来加密的实现类(选择一种加密的算法)

@Bean

public PasswordEncoder passwordEncoder(){

//创建 PasawordEncoder 的实现类， 实现类是加密算法

return new BCryptPasswordEncoder();

}

2)给每个密码加密

PasswordEncoder pe = passwordEncoder();

pe.encode("123456")

注解：

1. @Configuration ：表示当前类是一个配置类(相当于是 spring 的 xml

配置文件)，在这个类方法的返回值是java 对象，这些对象放入到

spring 容器中。

2. @EnableWebSecurity：表示启用 spring security 安全框架的功能

3. @Bean：把方法返回值的对象，放入到 spring 容器中。

三、基于角色的权限

认证和授权：

authentication：认证，认证访问者是谁。一个用户或者一个其他系统是不是当前要访问的系统中的有效用户。

authorization：授权，访问者能做什么

RBAC 是什么：

RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的，权限赋予给角色，而把角色又赋予用户，这样的权限设计很清楚，管理起来很方便。

RBAC： 用户是属于角色的， 角色拥有权限的集合。 用户属于某 个角色， 他就具有角色对应的权限。

RBAC 设计中的表：

1.用户表：用户认证(登录用到的表)

用户名，密码，是否启用，是否锁定等信息。

2.角色表：定义角色信息

角色名称，角色的描述。

3.用户和角色的关系表：用户和角色是多对多的关系。

一个用户可以有多个角色，一个角色可以有多个用户。

4.权限表，角色和权限的关系表

角色可以有哪些权限。

定义用户，角色，角色关系表：

用户信息表sys_user：

sys_role：角色表

sys_user_role:用户-角色关系表

配套教程指路：

Spring Security简介：

Spring Security是一个基于Spring的安全框架，提供了一套Web应用安全性的完整解决方案。一般来说，Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码，系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限。本课程细说Spring Security这套安全框架，通过案例带你快速学习掌Spring Security。