文章图片
文章图片
文章图片
一、Spring Security介绍
spring security 是基于 spring 的安全框架 。 它提供全面的安全性解决方案 , 同时在 Web 请求级和方法调用级处理身份确认和授权 。 在 Spring Framework 基础上 , spring security 充分利用了依赖注入(DI)和面向切面编程(AOP)功能 , 为应用系统提供声明式的安全访问控制功能 , 减少了为企业系统安全控制编写大量重复代码的工作 。 是一个轻量级的安全框架 。 它与 Spring MVC 有很好地集成.
核心功能:认证、验证
原理:基于 FilterServlet AOP 实现身份认证和权限验证
二、实例驱动学习
使用的框架和技术:
spring boot 2.0.6 版本
spring security 5.0.9 版本
【spring|基于Spring家族的Spring Security安全框架】maven 3 以上
jdk8 以上
idea 2019
案例(使用内存中的用户信息)
1)使用:
WebSecurityConfigurerAdapter 控制安全管理的内容 。
需要做的使用:继承
WebSecurityConfigurerAdapter , 重写方法 。 实现自定义的认证信息 。 重写下面的方法 。
protected void configure(AuthenticationManagerBuilder auth)
2)spring security 5 版本要求密码比较加密 , 否则报错
java.lang.IllegalArgumentException: There is no PasswordEncoder
mapped for the id \"null\"
实现密码加密:
1)创建用来加密的实现类(选择一种加密的算法)
@Bean
public PasswordEncoder passwordEncoder(){
//创建 PasawordEncoder 的实现类 ,实现类是加密算法
return new BCryptPasswordEncoder();
2)给每个密码加密
PasswordEncoder pe = passwordEncoder();
pe.encode(\"123456\")
注解:
1. @Configuration :表示当前类是一个配置类(相当于是 spring 的 xml
配置文件) , 在这个类方法的返回值是 java 对象 , 这些对象放入到
spring 容器中 。
2. @EnableWebSecurity:表示启用 spring security 安全框架的功能
3. @Bean:把方法返回值的对象 , 放入到 spring 容器中 。
三、基于角色的权限
认证和授权:
authentication:认证 , 认证访问者是谁 。一个用户或者一个其他系统是不是当前要访问的系统中的有效用户 。
authorization:授权 , 访问者能做什么
RBAC 是什么:
RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中 , 权限与角色相关联 , 用户通过成为适当角色的成员而得到这些角色的权限 。 这就极大地简化了权限的管理 。 这样管理都是层级相互依赖的 , 权限赋予给角色 , 而把角色又赋予用户 , 这样的权限设计很清楚 , 管理起来很方便 。
RBAC: 用户是属于角色的 ,角色拥有权限的集合 。用户属于某 个角色 ,他就具有角色对应的权限 。
RBAC 设计中的表:
1.用户表: 用户认证(登录用到的表)
用户名 , 密码 , 是否启用 , 是否锁定等信息 。
2.角色表:定义角色信息
角色名称 ,角色的描述 。
3.用户和角色的关系表: 用户和角色是多对多的关系 。
一个用户可以有多个角色 ,一个角色可以有多个用户 。
4.权限表 ,角色和权限的关系表
- 中文|爱数智慧CEO张晴晴:基于”情感“的人机交互,要从底层数据开始
- 米家|从零开始,基于群晖轻松玩转开源homeassistant智能家居前期搭建
- |基于LM2576HV-ADJ的多输出电源
- 进步奖|招标股份董秘回复:公司研发的生态环境数字孪生平台在下游应用领域更多基于客户自身需求
- 基于蜜网的工业互联网协同检测技术研究
- 近日|科学家开发出基于FBG传感原理的触觉传感器应用于微创手术组织触诊
- 墨芯人工智能完成数亿元A轮融资,基于稀疏架构的首颗云端AI芯片即将量产
- spring|如何判断网站的质量
- MR三星展示首款基于 MRAM 的内存计算
- ecc|OnLogic 推出基于第 12 代英特尔 Alder Lake 的坚固型工业计算机