Spring Security介紹

1、框架介紹

Spring?是一個非常流行和成功的?Java?應用開發框架。Spring Security?基于?Spring?框架，提供了一套?Web?應用安全性的完整解決方案。一般來說，Web?應用的安全性包括用戶認證和用戶授權兩個部分。

（1）用戶認證指的是：驗證某個用戶是否為系統中的合法主體，也就是說用戶能否訪問該系統。用戶認證一般要求用戶提供用戶名和密碼。系統通過校驗用戶名和密碼來完成認證過程。

（2）用戶授權指的是驗證某個用戶是否有權限執行某個操作。在一個系統中，不同用戶所具有的權限是不同的。比如對一個文件來說，有的用戶只能進行讀取，而有的用戶可以進行修改。一般來說，系統會為不同的用戶分配不同的角色，而每個角色則對應一系列的權限。

Spring Security其實就是用filter，多請求的路徑進行過濾。

（1）如果是基于Session，那么Spring-security會對cookie里的sessionid進行解析，找到服務器存儲的sesion信息，然后判斷當前用戶是否符合請求的要求。

（2）如果是token，則是解析出token，然后將當前請求加入到Spring-security管理的權限信息中去

2、認證與授權實現思路 如果系統的模塊眾多，每個模塊都需要就行授權與認證，所以我們選擇基于token的形式進行授權與認證，用戶根據用戶名密碼認證成功，然后獲取當前用戶角色的一系列權限值，并以用戶名為key，權限列表為value的形式存入redis緩存中，根據用戶名相關信息生成token返回，瀏覽器將token記錄到cookie中，每次調用api接口都默認將token攜帶到header請求頭中，Spring-security解析header頭獲取token信息，解析token獲取當前用戶名，根據用戶名就可以從redis中獲取權限列表，這樣Spring-security就能夠判斷當前請求是否有權限訪問

總結

以上是生活随笔為你收集整理的权限管理-SpringSecurity介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。