一般来说,Web应用的安全性包括用户认证( Authentication)和用户授权( Authorization)两个部分,这两点也是Spring Security重要核心功能。
指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录
指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。
Spring Security 特点
Apache旗下的轻量级权限控制框架。
特点:
Spring Security 本质是一个过滤器链,有很多过滤器.
此处列举三个
是一个方法级的权限过滤器,基本位于过滤链的最底部。
是个异常过滤器,用来处理在认证授权过程中抛出的异常
对/login的 POST请求做拦截,校验表单中用户名,密码。
查询数据库用户名和密码的过程
当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。
如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。
- 创建类继承UsernamePasswordAuthenticationFilter,重写三个方法
- 创建类实现UserDetailService,编写查询数据过程,返回User对象,这个User对象是安全框架提供对象
数据加密接口,用于返回user对象里边的密码加密