SpringSecurity使用分类

如何使用SpringSecurity，相信百度过的都知道，总共有四种用法，从简到深为：

不用数据库，全部数据写在配置文件，这个也是官方文档里面的demo；

使用数据库，根据spring security默认实现代码设计数据库，也就是说数据库已经固定了，这种方法不灵活，而且那个数据库设计得很简陋，实用性差；

spring security和Acegi不同，它不能修改默认filter了，但支持插入filter，所以根据这个，我们可以插入自己的filter来灵活使用；

暴力手段，修改源码，前面说的修改默认filter只是修改配置文件以替换filter而已，这种是直接改了里面的源码，但是这种不符合OO设计原则，而且不实际，不可用。

SpringSecurity的原理

基于 Filter , Servlet, AOP 实现身份认证和权限验证

虽然原理感觉会很复杂，不过没关系，通过代码的讲解，大家可以看完教程代码实现，再返回看这个简单的原理，可能会有不错的收获。

核心组件

• SecurityContextHolder：提供对SecurityContext的访问
• SecurityContext,：持有Authentication对象和其他可能需要的信息
• AuthenticationManager 其中可以包含多个AuthenticationProvider
• ProviderManager对象为AuthenticationManager接口的实现类
• AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
• Authentication：Spring Security方式的认证主体
• GrantedAuthority：对认证主题的应用层面的授权，含当前用户的权限信息，通常使用角色表示
• UserDetails：构建Authentication对象必须的信息，可以自定义，可能需要访问DB得到
• UserDetailsService：通过username构建UserDetails对象，通过loadUserByUsername根据userName获取UserDetail对象

（可以在这里基于自身业务进行自定义的实现 如通过数据库，xml,缓存获取等）

SpringSecurity有什么特点/ 优点？

1.将用户登录，权限控制分离出来，达到和其他控制、逻辑代码完全分离。

2.在控制、逻辑代码里面，可以通过spring容器的到我们登录用户的信息，可插拔性的体现。

3.自定义的权限控制访问，不但是对某个URL可操控，同时可以对某个方法进行控制。

4.提供一些登录相关的操作，如记住我、登录成功跳转页面设定等等。

5.安全控制性好，对并发session可控性好。

动力节点王鹤老师讲解的springsecurity教程，非常详细，而且很全面，通过案例带你快速学习Spring Security。

动力节点SpringSecurity教程-细说SpringSecurity安全框架

SpringSecurity教程资料下载

课程目录

001.security-框架介绍

002.security-初探-1

003.security-初探-2

004.security-初探-3

005.security-初探-4

006.security-自定义用户名和密码

007.security-关闭验证功能

008.security-基于内存的用户信息-思路

009.security-基于内存的用户信息-定义用户

010.security-基于内存的用户信息-密码加密

011.security-基于内存用户信息的角色设置

012.security-基于内存用户信息的方法设置角色访问权限

013.security-基于内存用户信息的方法设置角色测试

014.security-基于内存用户信息的方法设置角色测步骤总结

015.security-jdbc用户信息主要接口

016.security-jdbc用户信息maven依赖

017.security-jdbc用户信息创建dao和service

018.security-jdbc用户信息测试数据访问

019.security-jdbc用户信息初始化用户表数据

020.security-jdbc用户信息实现UserDetailsService接口

021.security-jdbc用户信息测试角色和用户

022.角色-RBAC

023.角色-RBAC数据库表介绍

024.认证类UserDetailsService

025.InMemoryUserDetatilsService的创建

026.测试InMemoryUserDetailsService账号

027.创建表

028.创建Modules

029.创建JdbcUserDetailsManager对象

030.测试JdbcUserDetailsManager-1

031.测试JdbcUserDetatilsManager-2

032.设计用户角色表

033.创建Modules-自定义用户和角色

034.security-表结构介绍

035.security-自定义UserDetails实现类SysUser

036.security-创建SysUserMapper文件

037.security-添加mybatis框架配置数据

038.security-通过程序初始SysUser账号数据

039.security-手工初始角色数据

040.security-创建SysUser查询方法

041.security-创建SysRoleMapper接口和mapper文件

042.security-查询角色信息

043.security-实现UserDetailsService接口

044.security-让框架使用自定义的UserDetailsService实现

045.security-创建测试的html和Controller

046.security-设置url权限定义

047.security-设置url角色

048.security-账号过期的解决

049.security-设置密码处理方式

050.security-功能实现步骤

051.security-默认登录页面

052.security-自定义登录页面

053.security-使用自定义mylogin页面

054.security-设置自定义登录配置参数

055.security-自定义登录总结

056.security-ajax登录页面

057.security-创建SuccessHandler

058.security-创建FailureHandler

059.security-指定配置Handler

060.security-使用jackson处理json

061.security-文档总结

062.security-介绍本节内容

063.security-创建生成验证的Controller定义参数

064.security-绘制白色的背景图片

065.security-向图片写入多个文字

066.security-设置干扰线

067.security-验证生成文档

068.security-ajax请求增加code参数

069.security-过滤器介绍

070.security-创建过滤器-1

071.security-创建过滤器-2

072.security-添加自定义过滤器

073.security-总结