Spring Security

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全存取控制解決方案的安全框架。由於它是Spring生態系統中的一員，因此它伴隨著整個Spring生態系統不斷修正、升級，在spring boot專案中加入springsecurity更是十分簡單，使用Spring Security 減少了為企業系統安全控制編寫大量重複程式碼的工作。

 

Spring Security OAuth2.0認證授權

進入行動網際網路時代，大家每天都在刷手機，常用的軟體有微信、支付寶、頭條等，下邊拿微信來舉例子說明認證

相關的基本概念，在初次使用微信前需要註冊成為微信使用者，然後輸入賬號和密碼即可登入微信，輸入賬號和密碼登入微信的過程就是認證。

認證 ：使用者認證就是判斷一個使用者的身份是否合法的過程，使用者去存取系統資源時系統要求驗證使用者的身份資訊，身份合法方可繼續存取，不合法則拒絕存取。常見的使用者身份認證方式有：使用者名稱密碼登入，二維條碼登入，手機簡訊登入，指紋認證等方式。

OAuth（開放授權）是一個開放標準，允許使用者授權第三方移動應用存取他們儲存在另外的服務提供者上的資訊，而不需要將使用者名稱和密碼提供給第三方移動應用或分享他們資料的所有內容，OAuth2.0是OAuth協定的延續版本，但不相容OAuth 1.0(即完全廢止了OAuth1.0)。
OAuth 2.0 規範定義了一個授權（delegation）協定。

目前學習Spring Security方面的資料相對來說比較並且並不完善，於是乎你的小編（雷鋒）整理分享這份資料，分兩套環境全面的講解Spring Security框架。首先，SSM環境中我們通過xml設定的方式，從原始碼滲入開始，完成Spring Security基本的「認證」和「授權」功能講解，其中還會融合「記住我」，CSRF攔截等技術。然後，會在SpringBoot環境中，繼續展開Spring Security更深度的學習，這時的認證，也會轉化成分散式方式。以上就筆記包含的內容，下面小編會展示目錄和詳細內容截圖，有需要完整版原始碼+筆記的朋友點贊起來，只有點贊+關注，即可免費領取！！

 

第一份筆記：Spring Security OAuth2.0認證授權

由於篇幅原因，為了避免影響到大家的閱讀體驗，在此只以截圖展示部分內容

 

1.基本概念

• 什麼是認證
• 什麼是對談
• 什麼是授權
• 授權的資料模型
• RBAC

 

 

2.基於Session的認證方式

• 認證流程
• 建立工程
• 實現認證功能
• 實現對談功能
• 實現授權功能

 

3.Spring Security 快速上手

• Spring Security介紹
• 建立工程
• 認證
• 授權

 

4.Spring Security 應用詳解

• 整合SpringBoot
• 工作原理
• 自定義認證
• 對談
• 退出
• 授權

 

 

5.分散式系統認證方案

• 什麼是分散式系統
• 分散式認證需求
• 分散式認證方案

 

 

6.OAuth2.0

• OAuth2.0介紹
• Sping Cloud Security OAuth2
• JWT令牌
• 完善環境設定

 

 

7.Spring Security 實現分散式系統授權

• 需求分析
• 註冊中心
• 閘道器
• 轉發明文token給微服務
• 微服務使用者鑑權攔截
• 整合測試
• 擴充套件使用者資訊.

 

第二份：企業開發首選的安全框架Spring Security筆記

 

第二部分：初識Spring Security

• 1.許可權相關概念介紹
• 2.引入認證和授權概念
• 3.Springsecurity介紹
• 4.這裡有十一個過濾器原理說明
• 5.資料庫環境準備
• 6.資料庫使用mysql，這裡完成使用者，角色，許可權三張表準備。
• 7.獨立web工程springsecurity許可權控制案例技術選型說明
• 8.springmvc+spring+mybatis+jsp+adminLTE
• 9.springsecurity認證功能實現
• 10.這時的認證，還未真正從資料庫中獲取角色資訊。

 

 

 

第二部分：Spring Security授權操作

• 11.實現使用者管理角色查詢功能
• 12.為授權做準備
• 13.實現使用者角色的修改功能
• 14.可增添可刪減使用者的角色
• 15.在jsp頁面上採用springsecurity動態標籤控制選單的顯示或隱藏
• 16.Springsecurity在獨立web工程中使用，其實並未用到許可權表，就是說選單並沒有入庫，直接全部寫死在頁面上，使用springsecurity動態標籤控制顯示或隱藏。
• 17.在後臺使用註解真正控制使用者對資源的存取許可權
• 18.這裡會使用jsr250，springEL，springsecurity三類註解來演示
• 19.403異常的處理
• 20.用三種方式來處理403異常的攔截

 

 

第三部分：SpringSecurity整合SpringBoot集中式版

 

• 21.Swagger製作restfulAPI介紹
• 22.既然要使用前後端分離的方式，怎麼能少了API？
• 23.將後臺所有返回頁面的處理器改成返回資料的處理器
• 24.都前後端分離了，再返回頁面還有什麼意義？
• 25.說明前後端分離後專案中認證的問題
• 26.這時的頁面和後臺在不同的伺服器中，所以會存在session不能共用的問題。
• 27.介紹JWT
• 28.說明JWT的功能和作用
• 29.Springsecurity整合JWT
• 30.通過springsecurity加JWT的方式來實現前後端分離的認證

 

 

第四部分：OAuth2.0實戰案例

• 31.將所有頁面換成vue
• 32.前後端分離jsp自然就不能再用了
• 33.建立許可權表並將所有選單入庫
• 34.之前獨立一個web工程的時候，選單是直接寫死在頁面上並沒有入庫的，而前後端分離後springsecurity的動態標籤無法使用了。
• 35.完成角色管理許可權查詢功能
• 36.為動態展示選單做準備。
• 37.完成修改角色下選單的功能
• 38.還是為動態展示選單做準備
• 39.介紹element-ui的使用
• 40.頁面展示選單技術準備
• 41.認證通過後在頁面上動態展示選單
• 42.使用element-ui完成動態選單的展示。