Spring Security是什么？（一）

Spring Security 是 Spring 项目组中用来提供安全认证服务的框架。应该说，Spring Security是使用最多的安全框架。

Spring Security使用的目的： 验证，授权，攻击防护。

背景：

谈论优点的同时，不妨先考虑一下，没有Spring Security我们难道就无法实现认证和授权了吗？

肯定不是的，一般涉及到用户授权，我们都会分为用户表、角色表、用户角色表、菜单表、角色菜单表。有这五张表，就算没有Spring Security我们依旧可以完成用户菜单等控制。

那他究竟在项目中起到了什么作用呢？

和 Spring 无缝整合，在SpringBoot下更加简便。在SpringBoot的自动装配下，可能我们只需要写一行配置，就能实现一个功能。

对身份验证和授权的全面且可扩展的支持，到底有多全面？
（1）他提供了登录页和退出页，假如我们着急做项目不想做登录页，只需要引入个依赖添加少量配置就可以快捷的完成一个登录功能
（2）使用SpringSecurity可以轻松完成接口的权限管理，假如不用SpringSecurity，那我们想要指定某个接口只允许拥有某个角色才能访问，这时候我们可能还得用拦截器来做，而且相当麻烦。
（3）这么给你说吧，你做登录和授权，只要是你能想到的，不管是安全方面，还是控制方面，SpringSecurity都能实现，最主要的是通过一个简单配置就能实现。

可以防止会话固定、点击劫持、跨站点请求伪造等攻击

注意：说的再简化一点，就是有了spring security，你再做登录，权限等方面就可以直接套用了，基本的你就直接写接口就可以了，应该是为了更加的简化。但是理解起来，还是比较复杂的，毕竟他的实现逻辑居然有大量的filter，常用的就有15个之多。

版本：

spring security 5 版本和spring security 4版本，是当前的主流版本。主要都是与spring boot的集成。

spring boot 1.x版本的时候，主要集成 spring security 4

spring boot 2.x版本的时候，主要集成 spring securiyt 5

功能：

Spring Security的主要功能

• 认证：验证用户名和密码是否合法（是否系统中用户）

• 授权：是系统用户不代表你能使用某些功能，因为你可能没有权限

• 防御会话固定，点击劫持，跨站点请求伪造等攻击

• Servlet API集成

• 与Spring Web MVC的可选集成

Spring Security主要是从两个方面解决安全性问题：

1. web请求级别：使用Servlet规范中的过滤器（Filter）保护Web请求并限制URL级别的访问。

2. 方法调用级别：使用Spring AOP保护方法调用，确保具有适当权限的用户才能访问安全保护的方法。

对比：

SpringSecurity 特点：
SpringSecurity是Spring 技术栈的组成部分，能和Spring 无缝整合。 全面的权限控制。 重量级。

Shiro 特点：

Apache 旗下的轻量级权限控制框架。
Shiro 主张的理念是把复杂的事情变简单。针对对 性能 有更高要求的互联网应用有更好表现。

在 SSM 中整合 Spring Security 都是比较麻烦的操作，所以，Spring Security 虽然功能比 Shiro 强大，但是使用者 反而没有 Shiro 多（Shiro 虽然功能没有Spring Security 多，但是对于大部分项目而言，Shiro 也够用了）。
自从有了 Spring Boot 之后，Spring Boot 对于 Spring Security 提供了自动化配置方案，可以使用更少的配置来使用 Spring Security。

因此，一般来说，常见的安全管理技术栈的组合是这样的：>
SSM + Shiro
Spring Boot/Spring Cloud + Spring Security
以上只是一个推荐的组合而已，如果单纯从技术上来说，无论怎么组合，都是可以运行的。

模块：