带你了解:SpringSecurity 安全管理框架
一、简介
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。
关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制)。这两点也是Spring Security重要核心功能。
认证:是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。
授权:指确定一个主体是否允许在你的应用程序执行一个动作的过程。通俗点讲就是系统判断用户是否有权限去做某些事情。
二、历史
Spring Security 以“The Acegi Secutity System for Spring” 的名字始于2003年年底。其前身为acegi项目。起因是Spring开发者邮件列表中一个问题,有人提问是否考虑提供一个基于Spring的安全实现。限制于时间问题,开发出了一个简单的安全实现,但是并没有深入研究。几周后,Spring社区中其他成员同样询问了安全问题,代码提供给了这些人。
2004年1月份已经有20人左右使用这个项目。随着更多人的加入
2004年3月左右在sourceforge中建立了一个项目。
大约1年后acegi成为Spring子项目。(在最开始并没有认证模块,所有的认证功能都是依赖容器完成的,而acegi则注重授权。但是随着更多人的使用,基于容器的认证就显现出了不足。acegi中也加入了认证功能。)
在2006年5月发布了acegi 1.0.0版本。2007年底acegi更名为Spring Security。
三、Spring security能干什么?
1、在Spring XML配置文件中指定您选择的授权提供者。
2、使用intercept-url元素将URL链接到用户角色,从而在Spring XML文件中配置授权规则。
3、以使用几个实现Spring的org.springframework.security.authentication.encoding.PasswordEncoder接口的类对密码进行编码和验证。
4、使用Spring Security的标签库来限制对页面元素的访问
5、使用Spring的内部注释执行方法级别的授权
6、通过将以下内容添加到Spring配置文件中,使用Spring的JSR-250实现来执行方法级安全性:
7、通过几个简单的步骤将Spring Security与OpenID身份验证集成。
8、将应用程序配置为使用XML配置通过嵌入式LDAP(轻型目录访问协议)服务器对用户进行身份验证。
9、将应用程序配置为使用XML配置通过远程LDAP(轻型目录访问协议)服务器对用户进行身份验证。
10、添加Spring Security Config的<intercept-url />元素requires-channel='https'属性强制所有匹配的URL使用HTTPS。
对于Spring security 安全管理框架,有不懂的可在下方评论区提问,一起讨论起来吧!!!
