Spring Security 簡介
阿新 • • 發佈:2018-12-21
Spring是一個非常流行和成功的Java應用開發框架。Spring Security基於Spring框架,提供了一套Web應用安全性的完整解決方案。一般來說,Web應用的安全性包括使用者認證(Authentication)和使用者授權(Authorization)兩個部分。使用者驗證指的是驗證某個使用者是否為系統中的合法主體,也就是說使用者能否訪問該系統。使用者認證一般要求使用者提供使用者名稱和密碼。系統通過校驗使用者名稱和密碼來完成認證過程。使用者授權是指驗證某個使用者是否有許可權執行某個操作。在一個系統中,不同使用者所具有的許可權是不同的。比如對一個檔案來說,有的使用者只能進行讀取,而有的使用者可以進行修改。一般來說,系統會為不同的使用者分配不同的角色,而每個角色則對應一系列的許可權。
對於上面提到的兩種應用場景,Spring Security框架都有很好的支援。在使用者認證方面,Spring Security框架支援主流的認證方式,包括HTTP基本認證、HTTP表單認證、HTTP摘要認證、OpenID和LDAP等。在使用者授權方面,Spring Security提供了基於角色的訪問控制和訪問控制列表(Access Control List , ACL),可以對應用中的領域物件進行細粒度的控制。