SpringSecurity 3.x介绍

关于Spring Security

  Spring Security,这是一种基于Spring AOP和Servlet过滤器 [7] 的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 SpringFramework 基础上,Spring Security 充分利用了依赖注入(DI,Dependency Injection)和面向切面技术。

Spring security官网 :http://www.springsource.org/spring-security/。

Spring security百度百科:http://baike.baidu.com/view/2677773.htm (百科页首的图片很形象的描述了Spring security的过滤器链)

关于认证和授权

  首先,认证在前,授权在后。其次,认证时用户获得登录的口令,如果口令错误,用户将无法请求资源;口令正确,则用户需要等待授权,同时在认证的过程中,用 户信息和用户所拥有的角色会被包装成为认证对象传递给授权过程使用。授权时会检查请求资源的权限并与用户所拥有角色的权限对比,如果能够能匹配,则认证通 过,反之不通过。

关于用户,角色,权限,资源的概念

  用户:应用系统的使用者;角色:区分用户职能;权限: 描述访问资源级别;用户和角色是多对多的关系,角色和权限也是多对多的关系。对于某个资源,可能会提供多个访问权限级别,那么只要是持有该权限的角色都是 可访问的,最终一个用户是否能访问该资源的问题就演变为一个用户对应的角色所拥有的权限是否包含该资源提供的各种访问级别的权限中的一个。

注:以上内容皆来源于网络,更详细的介绍请自行搜索。

时间: 2024-12-29 23:54:05

SpringSecurity 3.x介绍的相关文章

SpringSecurity 3.2入门(6)简单介绍默认使用的十一个过滤器

Security提供了20多个filter,每个过滤器都提供特定的功能.这些filter在Spring Security filter过滤器链中的缺省顺序由 org.springframework.security.config.http.SecurityFilters枚举类型定义.通过filter机制,Spring Security实现了安全认 证和授权等安全相关工作.用户通过配置文件,可以插入.替换或去除已知的filter,搭配自己的Spring Security filte过滤器链, 从而

[原创]SpringSecurity控制授权(鉴权)功能介绍

1.spring security 过滤器链 ? spring security中的除了用户登录校验相关的过滤器,最后还包含了鉴权功能的过滤器,还有匿名资源访问的过滤器链,相关的图解如下: 2.控制授权的相关类 ? 这里是整个spring security的过滤器链中的授权流程中控制权限的类的相关图示: ? 这里主要是从AccessDecisionVoter的投票者(译称)把信息传递给投票管理者AccessDecisionManager,最终来判断是过还是不过(也就是有没有权限).有两种可能的类

SpringMVC + Mybatis + SpringSecurity(权限控制到方法按钮) + Rest(服务) + Webservice(服务) + Quartz(定时调度)+ Lucene(搜索引擎) + HTML5 bootstrap + Maven项目构建绝对开源平台

框架整合: Springmvc + Mybatis + Shiro(权限) + REST(服务) + WebService(服务) + JMS(消息) + Lucene(搜搜引擎) + Quartz(定时调度) + Bootstrap Html5(支持PC.IOS.Android) 需要源码请加Q:3121026417   此处[源码获取地址] 框架简介: 项目Maven构建,真实大型互联网架构,做到高并发,大数据处理,整个项目使用定制化服务思想,提供模块化.服务化.原子化的方案,将功能模块进行

spring-security 登陆认证之初次探究

首先,希望还对 spring-security框架完全不懂的新手 下载下Git源码. 引入到项目中.这个短文就是边看源码边聊的.也会启动下项目验证自己的推想. spring-security 登陆认证的配置项如下: <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/index.ht&qu

利用springsecurity做用户权限限制

一.概述 不同的user(用户)需要不同的role(角色),不同的role(角色)又会需要不同的resource(资源权限),比如说我王二,是个管理员(admin),我的权限大到什么都能操作,包括新建一个代理(proxy),再比如说我弟弟王三,是个代理(proxy),他却不能新建代理,他权限不够大. 利用springsecurity来实现的话,就非常简便(当然了,必须先做点准备工作). <security:authorize name="newAgentPage"> <

【JavaWeb】Spring+SpringMVC+MyBatis+SpringSecurity+EhCache+JCaptcha 完整Web基础框架(前言)

一直希望能够搭建一个完整的,基础Web框架,方便日后接一些外快的时候,能够省时省力,终于花了一周的时间,把这个东西搞定了.特此写下此博客,一来是纪念,二来是希望能够为别人提供方便.顺带说一下,恩,组合框架的各个部分用的版本有的是最新的,有的则不是,不敢保证最新版本下,按照这个整合方式,不会报错... 简单介绍一下,本框架的基本功能点: Spring:整个框架的主体部分,这个自不用说. SpringMVC:MVC部分我还是比较喜欢Spring的. MyBatis:选型的时候选择这个ORM主要也是考

SpringSecurity 依据用户请求的过程进行源码解析

SpringSecurity实现安全管理主要通过滤器(filter).验证器(AuthenticationManager).用户数据提供器(ProviderManager).授权器(accessDecisionManager).投票器(AccessDecisionVoter)这几个基本模块协作完成的.大概分为两个部分 用户验证 和授权 这个两个部分.这个部分主要在AuthenticationProcessingFilter和AbstractSecurityInterceptor中完成. 使用过S

springsecurity remember-me 功能

本文基于spring-security-web-4.1.2.RELEASE. 要实现rememberMe,有两种方案. 1.基于简单加密token的方法 首先需要在配置文件中加入<remember-me />,然后在登录页表单中加入复选框即可. <input type="checkbox" name="remember-me" value="true" checked="checked"/>两周之内不必

(一)关于spring security的简要介绍以及相关配置和jar包认识

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作. 安全主要包括两个操作,"认证和验证(权限控制)"