Spring Security认证授权介绍
一、目标
真正控制系统权限的,需要引入专门的安全框架才行,所以,我们今天重点来学习Spring家族中的一员Spring Security安全框架。最终呢,我们会使用Spring Security框架来控制养老项目的后台管理系统
-
能够熟悉常见的权限控制的方式及常用技术
-
能够掌握Spring Security安全框架的作用
-
能够完成Spring Security安全框架的入门案例
-
能够掌握Spring Security密码加密的方式及特点
-
能够掌握Spring Security框架授权的思路
-
能够完成Spring Security整合JWT实现前后端分离项目的认证
二、权限框架
(1)、概述
权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。
那么如何在项目中实现权限呢?我们下面列举以下几个方案:
方案一:使用拦截器(过滤器)+JWT 实现地址鉴权
方案二:使用权限框架 Shiro
方案三:方案二:使用权限框架Spring Security
Shiro和Spring Security都是成熟的安全框架,在养老项目目前已经在使用Spring框架,那么Spring Security就是更好的选择。并且在使用市场占比上Spring Security也远超于Shiro
(2)、核心概念
-
认证
大家可以简单的理解为:用户登录的行为就是认证(你是谁)
判断用户是否存在,判断用户密码是否正确
-
授权
授权就是用户登录后,控制用户是否有权限访问某些资源。
我们有很多的资源api列表,那这个登录后的用户是否拥有这个api访问权限