【Spring Security

【Spring Security

Spring Security

• 一、SpringSecurity简介
• 二、学习
• • 2.1视频
  • 2.2CSDN博客教程
  • 2.3博客园博客教程
  • 2.4其它参考教程

一、SpringSecurity简介

SpringSecurity参考文档

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。主要用于 Spring 项目组中提供安全认证服务。
该框架主要的核心功能有 认证（你是谁）、授权（你能干什么）和攻击防护（防止伪造身份）。

其核心就是一组过滤器链，项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份，一个在spring security中一种过滤器处理一种认证方式。

比如，对于username password认证过滤器来说：

会检查是否是一个登录请求；

是否包含username 和 password （也就是该过滤器需要的一些认证信息） ；

如果不满足则放行给下一个。

• 它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。
• 它是一个轻量级的安全框架，它确保基于Spring的应用程序提供身份验证和授权支持。
• 它与Spring MVC有很好地集成，并配备了流行的安全算法实现捆绑在一起。安全主要包括两个 *** 作“认证”与“验证”（有时候也会叫做权限控制）。“认证”是为用户建立一个其声明的角色的过程，这个角色可以一个用户、一个设备或者一个系统。“验证”指的是一个用户在你的应用中能够执行某个 *** 作。在到达授权判断之前，角色已经在身份认证过程中建立了。

它的设计是基于框架内大范围的依赖的，可以被划分为以下几块。

• Web/Http 安全：这是最复杂的部分。通过建立 filter 和相关的 service bean 来实现框架的认证机制。当访问受保护的 URL 时会将用户引入登录界面或者是错误提示界面。
• 业务对象或者方法的安全：控制方法访问权限的。
• AuthenticationManager：处理来自于框架其他部分的认证请求。
• AccessDecisionManager：为 Web 或方法的安全提供访问决策。会注册一个默认的，但是我们也可以通过普通 bean 注册的方式使用自定义的AccessDecisionManager。
• AuthenticationProvider：AuthenticationManager 是通过它来认证用户的。
• UserDetailsService：跟 AuthenticationProvider 关系密切，用来获取用户信息的。
• Spring Security除了不能脱离Spring，shiro的功能它都有。

二、学习

建议先把CSDN博客教程看一遍，然后再去看视频完成案例。完成案例之后再去看CSDN博客教程会看起来轻松很多，可以的话自己动手实践实现CSDN博客案例教程。之后再去实现博客园博客教程

2.1视频

狂神SpringBoot_SpringSecurity视频

2.2CSDN博客教程

CSDN博客教程

2.3博客园博客教程

博客园博客教程

2.4其它参考教程

参考一
参考二
参考三