目录
一、Spring Security框架概述
1、概述
2、核心功能
3、用户认证
4、用户授权
5、Spring Security 与 Shiro
Spring Security:
Shiro:
6、常见的安全管理技术栈的组合
二、Spring Security入门案例
1、步骤
2、入门案例
第一步:创建springboot项目
第二步:修改springboot项目版本为2.2.1 RELEASE
第三步:引入Spring Security相关依赖
第四步:编写controller进行测试
第五步:改端口号,防止冲突
第六步:启动测试
第七步:登陆测试
第八步:访问测试
一、Spring Security框架概述
1、概述
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案;
2、核心功能
正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能;
3、用户认证
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录;
4、用户授权
用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情;
5、Spring Security 与 Shiro
Spring Security:
概述:
Spring Security是Spring 技术栈的组成部分;
特点:
- 和 Spring 无缝整合;
- 全面的权限控制;
- 专门为 Web 开发而设计:旧版本不能脱离 Web 环境使用;新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块,单独引入核心模块就可以脱离 Web 环境;
- 重量级;
Shiro:
概述:
Apache 旗下的轻量级权限控制框架;
特点:
轻量级:
Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现;
通用性:
好处:不局限于 Web 环境,可以脱离 Web 环境使用;
缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制;
6、常见的安全管理技术栈的组合
- SSM + Shiro;
- Spring Boot/Spring Cloud + Spring Security;
注意:以上只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行的;
二、Spring Security入门案例
1、步骤
第一步:创建springboot项目;
第二步:修改springboot项目版本;
第三步:引入相关依赖;
第四步:编写controller进行测试;
2、入门案例
第一步:创建springboot项目
(配置之后,直接下一步,完成,暂时不导入任何依赖)
第二步:修改springboot项目版本为2.2.1 RELEASE
第三步:引入Spring Security相关依赖
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http:///POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http:///POM/4.0.0 https:///xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.2.1.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.zibo</groupId>
<artifactId>studyspringsecurity</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>studyspringsecurity</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<!--改成web工程-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--添加spring-security依赖-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
第四步:编写controller进行测试
package com.zibo.studyspringsecurity.controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/test")
public class TestController {
@GetMapping("hello")
public String hello(){
return "Hello Spring Security!";
}
}
第五步:改端口号,防止冲突
第六步:启动测试
访问http://localhost:8111,发现浏览器自动跳转到了http://localhost:8111/login
这里是Spring Security进行了拦截,需要登录通过验证才能访问,默认用户名是user,密码在项目启动的控制台打印出来了:
第七步:登陆测试
第八步:访问测试
访问http://localhost:8111/test/hello
