一、介绍
Spring Security 是 Spring 家族中的一个基于AOP和Servlet过滤器的安全管理框架,提供全面的安全性解决方案,同时在Web请求级和方法调用级处理身份确认和授权。
核心功能:
- 认证----是谁,用户、设备、系统
- 授权----能干嘛,权限控制
- 攻击防护----方式伪造身份
Spring Boot 对于 Spring Security 提供了 自动化配置方案,可以零配置使用 Spring Security。在 Spring Boot 或者 Spring Cloud 中,如果想选择一个权限/安全管理框架,几乎毫无疑问的选择 Spring Security,Shiro 在这个环境下已经不具备优势了。
在web应用开发中,安全无疑是十分重要的,选择Spring Security来保护web应用是一个非常好的选择。Spring Security 是spring项目之中的一个安全模块,可以非常方便与spring项目无缝集成。特别是在spring boot项目中加入spring security更是十分简单。
因此,一般来说,常见的安全管理技术栈的组合是这样的:
- Spring Boot/Spring Cloud + Spring Security
二、spring security和Shiro的对比
相同点:
认证、授权、加密、会话、缓存支持、remeberMe... ...
不同点:
优:
- spring security是基于spring开发,如果项目使用spring作为基础,配合spring security做权限更加方便。而shiro需要和spring进行整合。
- Spring Security功能更加丰富
- Spring Security社区资源较多
- 可与springboot、spring cloud进行无缝集成
缺点:
- Spring Security较shiro使用上复杂,上手难度较大
- Spring Security需要依赖spring容器,而shiro不需要任何框架或容器
三、简单Demo示例
工具:IDEA
1、创建新的SpringBoot项目,添加web和Spring Security依赖
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>
2、随意创建一个controller,作为测试Spring Security的效果使用
3、启动项目,浏览器输入地址,会出现登录界面,此界面为默认的登录界面,说明此时Spring Security已经起到了作用
4、输入默认的用户名user,和控制台打印出来的默认密码即可进行登录,其中密码是Spring Security生成UUID密码,每一次启动都不一样
5、开发过程中,如果不想进行验证,则在启动类中添加如下
6、在配置文件中修改用户名和密码,即可使用配置的进行登录,同时控制中不会再输出默认密码
注意:去掉启动类中的忽略验证配置
后续就是配置指定的登录界面、用户的数据库对接、权限等等,系列课程将会陆续更新。