Spring Security(一)入门
1.Spring Security简介
一个能够为基于Spring的项目提供声明式的安全访问控制解决方式的安全框架。提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。
即,对访问权限进行控制
核心功能点:
- 用户认证(Authentication):验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。即,你是谁
- 用户授权(Authorization):验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。即,你能干什么
- 攻击防护 :防止伪造身份
Spring Security主要是从两个方面解决安全性问题:
- web请求级别:使用Servlet规范中的过滤器(Filter)保护Web请求并限制URL级别的访问。
- 方法调用级别:使用Spring AOP保护方法调用,确保具有适当权限的用户才能访问安全保护的方法。