Spring Security 是一个安全框架,它提供了一系列的安全机制,下面我就来详解Spring Security @mikechen
Spring Security定义
Spring Security是一个开源的安全框架,主要用于认证和授权,它基于Spring框架,提供了一组能够集成到任何Spring应用程序中的安全性服务。
Spring Security作用
Spring Security主要用于对应用程序进行身份验证和授权,提供了一系列的安全性服务,包括:
- 访问控制:控制用户对不同资源的访问权限;
- 认证:验证用户身份是否合法;
- 授权:确定用户是否被允许执行特定操作;
- Session管理:管理用户的Session信息,包括过期时间、并发控制等;
- 密码加密:将用户密码进行加密处理,增加安全性。
Spring Security使用
1.添加Spring Security的依赖
<!-- Spring Security 核心模块 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactId> <version>5.5.0</version> </dependency> <!-- Spring Security Web模块,用于支持Web应用程序安全 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.5.0</version> </dependency> <!-- Spring Security配置支持 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>5.5.0</version> </dependency>
2.配置Spring Security
在Spring配置文件中,可以配置Spring Security的相关属性,例如认证方式、权限控制、Session管理等。
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.2.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-5.5.xsd"> <!-- 配置认证方式 --> <authentication-manager> <authentication-provider> <user-service> <user name="user" password="{noop}password" authorities="ROLE_USER" /> </user-service> </authentication-provider> </authentication-manager> <!-- 配置权限控制 --> <http> <intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> <form-login /> <logout /> </http> </beans:beans>
3.使用Spring Security
创建一个安全配置类,并在其中定义需要保护的资源。
@Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout()
4.运行应用程序并测试
启动应用程序,并访问需要保护的资源/admin/**
,此时会弹出一个基本身份验证的窗口,输入用户名和密码,即可访问受保护的资源。
Spring Security原理
Spring Security的核心原理是使用一系列的过滤器链对请求进行处理,过滤器链是由许多过滤器(Filter)组成的。
如下图所示:
每个过滤器负责不同的安全性功能,如用户认证、用户授权、会话管理、跨站点请求伪造防护等等。
在过滤器链中,最核心的是SecurityFilterChain
,它是一个过滤器链的集合,每个SecurityFilterChain
对象包含一个或多个过滤器,并匹配特定的请求。
如下图所示:
Spring Security的另一个核心概念是SecurityContextHolder,它用于在当前线程中存储和访问SecurityContext对象,SecurityContext对象是Spring Security的核心数据结构,包含了当前用户的安全性信息,如用户的认证状态、权限等等。
总之,Spring Security通过一系列的过滤器链和安全性相关的核心概念来实现安全性保护,其核心是SecurityFilterChain
和SecurityContext
。
以上就是Spring Security的详解,更多Spring内容请查看:Spring教程(史上最全图文详解)
陈睿mikechen
10年+大厂架构经验,资深技术专家,就职于阿里巴巴、淘宝、百度等一线互联网大厂。
关注「mikechen」公众号,获取更多技术干货!
后台回复【架构】,即可获取《阿里架构师进阶专题全部合集》,后台回复【面试】即可获取《史上最全阿里Java面试题总结》