Java认证授权框架Spring Security介绍

Spring Security 是一个非常强大的身份验证和授权控制框架。为了满足企业项目的不同需求，它提供了很多定制化开发的解决方案，通过简单的调整配置，就能为我们的应用提供一套可靠的安全保障。本节课程主要任务就是搞清楚 Spring Security 是干什么的，以及它的基本用法。

系统安全和系统保护设计

在实际开发过程中，为了保证我们的系统能够安全稳定的运行下去，一般都要从下面两点来考虑：

系统安全性：防止非法入侵、非法请求、非法拦截等。我们需要阻止和屏蔽不信任的请求源访问，保证数据的安全可靠，不被人窃取。
系统健壮性：也就是系统可用性，最常见的解决方案就是做服务 “冗余”。当然量级够大的话，要做的事情会很多很多，比如限流、熔断、降级等等。

这里只简单的谈一谈系统的安全性，在项目的开发中需要从全方位、多角度做工作，以确保整个业务链路、整个体系范围都能保证安全。下面就大致介绍下在实际开发过程中，开发者经常用到的一些方法：

• 数据校验，包括前端 js 校验和后端校验，其实前端校验主要是为了体验，也就是尽可能降低出错率，提高一次性提交的成功率。也可以说前端校验规则是后端校验的子集。
• 防止命令注入，比如最常见的 SQL 注入，它不是利用操作系统的 BUG 来实现攻击，而是针对程序员编程时的疏忽，通过 SQL 语句，实现无帐号登录，甚至篡改数据库。
• 认证安全，对于使用应用的实体，无论是人还是系统程序，都应当做到对每个请求都能找到对应的责任实体。因此，在处理请求前，要先对认证信息进行检测。
• 登录鉴权，即要控制这个用户登录后能在系统中做什么，比如一般要把用户分为外部用户、员工等。
• 数据加密，对于敏感数据，不得明文传输和明文存储。如数据存储中，密码等信息我们可以加密后再存储；数据传输中，对密文使用 DES3/RSA 加密。
• 请求签名，在外部请求时也是常见的处理方式，只有通过接口签名验证的请求，才信任为合法的请求。
• 在系统的安全方面，我们的 Spring Security 框架，解决的最主要的问题就是 认证安全 和 登录鉴权。

Spring Security 核心功能介绍

Spring Security 其核心就是一组过滤器链，项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份，一个在 Spring Security 中一种过滤器处理一种认证方式。比如，对于 username password 认证过滤器来说：

• 会检查是否是一个登录请求；
• 是否包含 username 和 password （也就是该过滤器需要的一些认证信息）；
• 如果不满足则放行给下一个。

然后下一个认证过滤器，再次按照自身职责判定是否是自身需要的信息。中间可能还有更多的认证过滤器，只要有一个认证过滤器通过了，就是用户登录成功。

在整个过滤器中的最后一环是 FilterSecurityInterceptor，这里会判定该请求是否能进行访问 REST 服务，如果被拒绝了就会抛出不同的异常（根据具体的原因）。Exception Translation Filter 会捕获抛出的错误，然后根据不同的认证方式进行信息的返回提示。
参考资料

如果觉得文章有用的话就给我一个赞吧~