SpringSecurity6从入门到实战之引言和基本概念

SpringSecurity6从入门到实战之引言和基本概念

前言

在当今数字化时代,随着网络应用的日益普及,保护用户数据和系统安全变得至关重要。作为Java开发社区的中坚力量,Spring框架提供了一整套解决方案来构建企业级应用程序。然而,随着应用程序的复杂性增加,确保应用程序的安全性也成为开发过程中的一个主要挑战。正是在这种背景下,Spring Security应运而生,它不仅为开发者提供了一个全面的安全解决方案,而且通过其模块化和可扩展的设计,使得开发者能够轻松地将其集成到现有的Spring应用程序中。

什么是SpringSecurity

Spring Security是一个功能强大且高度可定制的Java安全框架,它用于保护基于Spring的应用程序。它重点提供了认证(Authentication)和授权(Authorization),并且可以通过插件的方式轻松扩展以满足安全需求。Spring Security不仅支持多种认证方式,如表单登录、HTTP基本认证、OAuth2等,还提供了对Web应用程序的保护,包括CSRF防护、会话管理、密码加密等。

官网:[https://spring.io/projects/spring-security]

image.png

以上来自官网下的定义

总的来说,SpringSecurity是Spring全家桶中的一个功能强大,可进行身份验证(认证)访问控制(授权)的框架,主要实现系统中的权限管理

什么是权限管理

权限管理包括 用户认证用户授权 两部分,简称认证授权。

一般来说,Web应用的安全性包括 用户认证用户授权两个部分,这两点也是SpringSecurity的主要核心内容。

  • 用户认证Authentication
    用户认证,就是验证一个用户是否是合法身份,能否访问该系统的过程。最简单的用户认证方式就是 要求用户输入的用户名和密码,系统通过用户名和密码 来校验用户身份是否合法。常见的认证方式还有 基于生物学特征的身份验证,需要录入指纹、人脸识别等;还有要求通过硬件Key等刷卡的系统,需要刷卡。
  • 用户授权Authorization
    用户授权,就是控制一个合法用户有权限执行哪些操作,也就是访问控制,控制谁能访问哪些资源。用户在身份认证后,需要分配权限方可访问系统的资源,对于没有权限的资源 用户是不能访问的。如,购物网站 买家登录系统能查询、加购物车、下订单,卖家登录后可以添加商品、修改价格、发货,卖家能做的操作买家是不能操作的,这就是不同的人有不同的权限,做不同的事情。

简单来说:

  • 用户认证,就是检查用户能否进入系统。
  • 用户授权,就是用户进入系统后 能操作哪些功能。

安全框架的对比

在 Java EE 企业级开发中,安全管理框架目前比较常见的有:

  • Shiro
    • 优点:轻量级的安全管理框架(Apache提供)、简单(把复杂的事情变简单)、易于集成、也可以在JavaSE环境中使用等。
    • 缺点:在微服务时代,Shiro 就显得力不从心了,在微服务面前和扩展方面,无法充分展示自己的优势。
  • Spring Security
    • 优点:作为 Spring 家族中的一员,和 Spring 等技术可以实现无缝整合。同时对 OAuth2 有着良好的支持,再加上Spring Cloud对 Spring Security 的不断加持(推出 Spring Cloud Security ),让 Spring Securiy 不知不觉中成为微服务项目的首选安全管理方案。
    • 缺点:重量级
  • Sa-Token
    • 轻量级的Java权限认证框架,主要解决登录认证、权限认证、OAuth2.0、分布式Session会话、微服务网关鉴权等一系列权限相关问题。Sa-Token使用简单,功能强大,只需一行代码就可以完成会话登录或校验登录状态。Sa-Token更适合于前后台分离架构,支持多种模式和场景的token生成和验证。
    • Sa-Token是一个相对较新的框架,但已经获得了不少关注和好评。
  • 开发者自定义
    • 即程序员开发实现权限管理,基于角色的访问控制(Role-Based Access Control 简称 RBAC)。但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/17247.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

APM2.8飞控

ArduPilotMega 主控可应用于 固定翼、直升机、多旋翼、地面车辆 APM2.8飞控供电有两种 1.电流计供电, 2.带BEC(稳压功能)的电调供电 ArduPilotMega 内部的硬件结构图: 调试时,不要使用向导,由于向导功能不…

Linux中的SCP:有你,一切都不遥远

引言 在Linux系统中,文件传输是一个常见的任务。SCP(Secure Copy Protocol)命令提供了一种安全的方式来在本地和远程计算机之间复制文件。本文将详细介绍SCP命令的使用方法,并提供一些实用的示例以及故障排除指南。 SCP命令简介…

vue组件通讯$parent和$children获取单签组件的⽗组件和当前组件的⼦组件的例子

在 Vue 中,$parent 和 $children 是实例属性,允许你访问组件的父组件和子组件。但是,请注意,这些属性主要用于在开发过程中进行调试和临时访问,并不推荐在正常的组件通信中使用,因为它们破坏了组件的封装性…

React Native 之 Linking(链接)(十五)

URL Scheme是什么 URL Scheme是一种机制,主要用于在移动应用程序中打开另一个应用程序或执行特定操作。 定义与原理: URL Scheme允许应用程序通过特定的URL格式与其他应用程序进行交互。 它通过在应用程序中注册一个自定义的URL Scheme,并在…

[GDB] GDB调试

目录 一 简介 二 功能: 三 命令: 四 调试准备: 五 开始调试: 5.1 添加断点: 5.2 条件编译 5.3 断点查看 5.4 断点删除: 5.5 查看源码 5.6 单步调试(逐过程): 5.7 断点调试: 5.8 单步跟踪(逐语句): 5.9 调试过程: 5.9.1 开始调…

在CentOS 8上卸载与安装MySQL 8的详细步骤

关键词:MySQL 8安装、CentOS 8、YUM源配置、卸载MySQL、MySQL残留文件删除、首次登录MySQL临时密码、服务状态检查、MySQL社区服务器 阅读建议:本文适合需要在CentOS 8操作系统上部署最新MySQL 8数据库的系统管理员或开发者阅读。文中步骤简洁清晰&#…

Spring (23)如何在Spring中配置数据源

在Spring中配置数据源是一个基本且重要的任务,特别是在构建依赖于数据库操作的应用程序时。数据源(DataSource)是数据库连接的工厂,Spring通过数据源抽象简化了数据库连接的管理。配置数据源通常涉及定义一个或多个DataSourcebean…

ssm145基于java的电脑硬件库存管理系统+jsp

电脑硬件库存管理系统的设计与实现 摘 要 互联网发展至今,无论是其理论还是技术都已经成熟,而且它广泛参与在社会中的方方面面。它让信息都可以通过网络传播,搭配信息管理工具可以很好地为人们提供服务。针对电脑硬件库存信息管理混乱&…

【设计模式】创建型-抽象工厂模式

前言 在软件开发领域,设计模式是一种被广泛接受的解决方案,用于解决特定问题并提供可维护和可扩展的代码结构。抽象工厂模式(Abstract Factory Pattern)是其中之一,它提供了一种方法来创建一系列相关或相互依赖的对象…

Prime算法构造最小生成树(加点法)

一、算法逻辑 想要轻松形象理解Prime的算法逻辑,视频肯定比图文好。 小编看过很多求相关的教学视频,这里选出一个我认为最好理解的这一款安利给大家。 因为他不仅讲解细致,而且还配合了动画演示,可以说把一个抽象的东西讲的非常…

linux下重启oracle数据库步骤

Linux下重启oracle数据库步骤: 1.使用oracle用户登录数据库服务器(root登录的话进入数据库时会找不到sqlplus命令) su – oracle 2.通过数据库管理员sysdba进入oracle数据库 sqlplus / as sysdba 3.关闭数据库 shutdown immediate &#xff0…

编码电机脉冲数统计,测速

脉冲统计代码 int reducation 90;//减速比,根据电机参数设置,比如 15 | 30 | 60 int pulse 11; //编码器旋转一圈产生的脉冲数该值需要参考商家电机参数 int per_round pulse * reducation * 4;//车轮旋转一圈产生的脉冲数 long start_time millis…

Linux 使用 yum安装 ELK服务,yum 安装elasticsearch和Kibana(未写完)

文章目录 环境准备ELK组件介绍安装Elasticsearch安装Kibana 丢弃下载ELK 服务安装包Elasticsearch安装 Tips:关闭elasticsearch https 环境准备 ELK组件介绍 ElasticSearch : 是一个近实时(NRT)的分布式搜索和分析引擎,它可以用…

CentOS6.5 下编译 FreeSWITCH 1.2.23 版本

命题作文,慢慢来,一边做,一边记录。 老古董了,查资料很不容易,但朋友说不着急,这很好。 生命的意义在于折腾,不是吗? 先下载 CentOS6.5, 查了下资料,最后…

PyQt6实战 | 绘图画板程序 自由绘制 直线 矩形 椭圆 画笔颜色和大小选择

引言 本文将介绍如何使用 PyQt6 创建一个简单的绘图应用程序。这个应用程序实现了常用的绘图功能,如自由绘制、画直线、矩形和椭圆。此外,还提供了选择画笔颜色、调整画笔宽度、清空画布和导出图像的功能。 环境设置 首先,需要安装 PyQt6&a…

OrangePi AIpro评测 - AI服务篇

0. 环境 ●OrangePi AIpro ●windows电脑 ●路由器 之前我已经对OrangePi AIpro进行了些嵌入式基本操作的评测。接下来进行AI部分。来看看华为昇腾的特别之处。 1.普通CPU和AI CPU 这里请提前用调试串口或者ssh到板子上,记得用户名和密码,分别是HwHiAiUs…

[Dragon Knight CTF] crypto/pwn

周末很忙,哪个比赛都没打,周一把一个小赛回顾一下。 这个比完马上就发了官方WP,我会的大概跟我作的一样,不会的也记下来。虽然没报名但是马上就把题移到了练习区,真是良心赛。 Crypto Crypto_签到 from Crypto.Uti…

【Mybatis】映射文件获取新增记录的id

我们在讲JDBC的时候讲过在插入新数据值的时候需要获得到自动生成的那个主键id的值 ①获取PreparedStatement的对象的时候 PreparedStatement st conn.prepareStatement(sql,Statement.RETURN_GENERATED_KEYS ); ②在执行SQL语句后 st.executeUpdate();ResultSet rs st.ge…

web前端三大主流框架

Web前端开发的三大主流框架是: 1. **React**: - **简介**:由Facebook开发和维护的开源JavaScript库,用于构建用户界面,尤其是单页应用程序。 - **特点**:虚拟DOM、高效的组件化开发、单向数据流、强…

马斯克:AI时代人人高收入,不需要工作,商品服务不再短缺,可能性80%

当前人工智能现状和未来如何?AI时代下,人类未来会发生哪些变化? 埃隆马斯克(Elon Musk)在2024 VivaTech大会上分享了关于地球未来的诸多愿景。 投资作业本课代表摘录了其中的要点,分享给大家&#xff1a…