一、Spring Security介绍
spring security 是基于 spring 的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上,spring security充分利用了依赖注入(DI)和面向切面编程(AOP)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。是一个轻量级的安全框架。它与Spring MVC 有很好地集成.
核心功能:
认证、验证
原理:
基于 Filter , Servlet, AOP 实现身份认证和权限验证
二、实例驱动学习
使用的框架和技术:
spring boot 2.0.6 版本
spring security 5.0.9 版本
maven 3 以上
jdk8 以上
idea 2019
案例(使用内存中的用户信息)
1)使用:WebSecurityConfigurerAdapter 控制安全管理的内容。
需要做的使用:继承 WebSecurityConfigurerAdapter,重写方法。实现自定义的认证信息。重写下面的方法。
protected void configure(AuthenticationManagerBuilder auth)
2)spring security 5 版本要求密码比较加密,否则报错
java.lang.IllegalArgumentException: There is no PasswordEncoder
mapped for the id "null"
实现密码加密:
1)创建用来加密的实现类(选择一种加密的算法)
@Bean
public PasswordEncoder passwordEncoder(){
//创建 PasawordEncoder 的实现类, 实现类是加密算法
return new BCryptPasswordEncoder();
}
2)给每个密码加密
PasswordEncoder pe = passwordEncoder();
pe.encode("123456")
注解:
1. @Configuration :表示当前类是一个配置类(相当于是 spring 的 xml
配置文件),在这个类方法的返回值是 java 对象,这些对象放入到
spring 容器中。
2. @EnableWebSecurity:表示启用 spring security 安全框架的功能
3. @Bean:把方法返回值的对象,放入到 spring 容器中。
三、基于角色的权限
认证和授权:
authentication:认证,认证访问者是谁。 一个用户或者一个其他系统是不是当前要访问的系统中的有效用户。
authorization:授权,访问者能做什么
RBAC 是什么:
RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。
RBAC: 用户是属于角色的, 角色拥有权限的集合。 用户属于某 个角色, 他就具有角色对应的权限。
RBAC 设计中的表:
1.用户表: 用户认证(登录用到的表)
用户名,密码,是否启用,是否锁定等信息。
2.角色表:定义角色信息
角色名称, 角色的描述。
3.用户和角色的关系表: 用户和角色是多对多的关系。
一个用户可以有多个角色, 一个角色可以有多个用户。
4.权限表, 角色和权限的关系表
角色可以有哪些权限。
定义用户,角色,角色关系表:
sys_user:用户信息表
sys_role:角色表
sys_user_role: 用户-角色关系表
以上Spring Security全套视频资料可评论/私信获取~~~