spring security实战项目笔记

Posted 2021-09-08 健康平安的活着

一  认证和授权

1.1  认证和授权

Spring Security 基于 Spring 框架，提供了一套 Web 应用安全性的完整解决方案。一般来说，Web 应用的安全性包括 用户认证（Authentication）和用户授权（Authorization）两个部分。

​ 用户认证指的是验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

​ 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的

权限框架核心 用户认证 Authentication 和 用户授权(Authorization)

1.2 shiro与spring security

1.shiro比spring security出现的早，shiro的功能没有spring security功能强大， SpringSecurity除了基本的shiro的认证和授权以外，还对分布式，oauth认证，单点登录 都比较友好支持。

2.shiro简单，功能没有那么多，容易学，SpringSecurity稍微复杂一点。

3.SpringSecurity和Spring是无缝衔接。比Shiro好的多.. 特别是现在SpringBoot流行的当下。SpringSecurity更能发挥他的特点。

1.3 RBAC

RBAC 是基于 角色的访问控制(Role-Based Access Controll) 。

用户 和 角色 -- 多对多关系 (多个用户可以拥有一个角色，一个角色可以赋给多个用户) -- 建一个中间表

角色 和 权限 -- 多对多关系 (多个权限可以拥有一个角色，一个角色可以赋给多个权限) -- 建一个中间表

权限 和 资源 -- 这里可以是一对一 也可以是 一对多 (一个权限 对应 一个资源 也可以一个权限对应多个资源)