今日谈谈我对Springsecurity的理解

Posted 2021-05-12 卑微阿郑

Springsecurity主要作用是安全访问控制，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

其中核心功能有：应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分

如果您当前系统是一个单体应用开发且需要用户认证、和权限管理，Springsecurity简单配置就可以完成，大大的减少编码量。

基本概念：

1.什么是认证？

进入移动互联网时代，大家每天都在刷手机，常用的软件有微信、支付宝等，下边拿微信来举例子说明认证相关的基本概念，在初次使用

微信前需要注册成为微信用户，然后输入账号和密码即可登录微信，输入账号和密码登录微信的过程就是认证。

 

1.1.为什么需要认证

 

认证是为了保护系统的隐私数据与资源，用户的身份合法才可访问该系统的资源，比如您现在入购入，购买完商品付钱的时候，“钱”属于自己隐私就需要认证

 

2.什么是授权

 

就拿支付宝来举例子，支付宝登陆成功后用户就可以使用转账、发红包、花呗、添加好友等功能，没有绑定银行卡是不可以转账的，花呗属于支付宝的资源，

你需要向支付宝申请此功能才能去使用，当你申请成功才能拥有花呗功能，这个根据用户使用资源就是授权。

 

2.1. 为什么要授权

 

认证是保证了用户的合法性，而授权是为了细粒度的控制用户使用的“资源”，控制不同的用户使用不同的资源。

 

2.2. 授权模型

 

授权模型RBAC，基于角色来进行访问权限控制。

 

 

 

下期分享认证模型和授权模型