spring|基于Spring家族的Spring Security安全框架

spring|基于Spring家族的Spring Security安全框架

文章图片

spring|基于Spring家族的Spring Security安全框架

文章图片

spring|基于Spring家族的Spring Security安全框架

文章图片


一、Spring Security介绍
spring security 是基于 spring 的安全框架 。 它提供全面的安全性解决方案 , 同时在 Web 请求级和方法调用级处理身份确认和授权 。 在 Spring Framework 基础上 , spring security 充分利用了依赖注入(DI)和面向切面编程(AOP)功能 , 为应用系统提供声明式的安全访问控制功能 , 减少了为企业系统安全控制编写大量重复代码的工作 。 是一个轻量级的安全框架 。 它与 Spring MVC 有很好地集成.
核心功能:认证、验证
原理:基于 FilterServlet AOP 实现身份认证和权限验证
二、实例驱动学习
使用的框架和技术:
spring boot 2.0.6 版本
spring security 5.0.9 版本
【spring|基于Spring家族的Spring Security安全框架】maven 3 以上
jdk8 以上
idea 2019
案例(使用内存中的用户信息)
1)使用:
WebSecurityConfigurerAdapter 控制安全管理的内容 。
需要做的使用:继承 
WebSecurityConfigurerAdapter , 重写方法 。 实现自定义的认证信息 。 重写下面的方法 。
protected void configure(AuthenticationManagerBuilder auth)
2)spring security 5 版本要求密码比较加密 , 否则报错
java.lang.IllegalArgumentException: There is no PasswordEncoder
mapped for the id \"null\"
实现密码加密:
1)创建用来加密的实现类(选择一种加密的算法)
@Bean
public PasswordEncoder passwordEncoder(){
//创建 PasawordEncoder 的实现类 ,实现类是加密算法
return new BCryptPasswordEncoder();

2)给每个密码加密
PasswordEncoder pe = passwordEncoder();
pe.encode(\"123456\")
注解:
1. @Configuration :表示当前类是一个配置类(相当于是 spring 的 xml
配置文件) , 在这个类方法的返回值是 java 对象 , 这些对象放入到
spring 容器中 。
2. @EnableWebSecurity:表示启用 spring security 安全框架的功能
3. @Bean:把方法返回值的对象 , 放入到 spring 容器中 。
三、基于角色的权限
认证和授权:
authentication:认证 , 认证访问者是谁 。一个用户或者一个其他系统是不是当前要访问的系统中的有效用户 。
authorization:授权 , 访问者能做什么
RBAC 是什么:
RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中 , 权限与角色相关联 , 用户通过成为适当角色的成员而得到这些角色的权限 。 这就极大地简化了权限的管理 。 这样管理都是层级相互依赖的 , 权限赋予给角色 , 而把角色又赋予用户 , 这样的权限设计很清楚 , 管理起来很方便 。



RBAC: 用户是属于角色的 ,角色拥有权限的集合 。用户属于某 个角色 ,他就具有角色对应的权限 。
RBAC 设计中的表:
1.用户表: 用户认证(登录用到的表)
用户名 , 密码 , 是否启用 , 是否锁定等信息 。
2.角色表:定义角色信息
角色名称 ,角色的描述 。
3.用户和角色的关系表: 用户和角色是多对多的关系 。
一个用户可以有多个角色 ,一个角色可以有多个用户 。
4.权限表 ,角色和权限的关系表