Spring-Security
概念:Spring Security是一个功能强大且高度可定制的,主要负责为Java程序提供声明式的 身份验证(认证)和访问控制(授权访问) 的安全框架。其前身是Acegi Security,后来被收纳为Spring的一个子项目,并更名为了Spring Security。
Spring Security的底层主要是 基于 Spring AOP 和 Servlet 过滤器 来实现安全控制,它提供了全面的安全解决方案,同时授权粒度可以在 Web请求级和方法调用级 来处理身份确认和授权。
功能Spring Security 的核心功能主要包括如下几个:
认证: 解决 “你是谁” 的问题–>解决的是系统中是否有这个“用户”(用户/设备/系统)的问题,也就是我们常说的“登录”。
授权: 权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。Spring Security 支持基于 URL 的请求授权、方法访问授权、对象访问授权。
防护攻击: 防止身份伪造等各种攻击手段。
加密功能: 对密码进行加密、匹配等。
会话功能: 对Session进行管理。
RememberMe功能: 实现“记住我”功能,并可以实现token令牌持久化。
