惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Apple Machine Learning Research
Apple Machine Learning Research
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
S
Security @ Cisco Blogs
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Cisco Talos Blog
Cisco Talos Blog
Cyberwarzone
Cyberwarzone
SecWiki News
SecWiki News
Webroot Blog
Webroot Blog
L
LINUX DO - 最新话题
V
Vulnerabilities – Threatpost
T
Troy Hunt's Blog
Cloudbric
Cloudbric
L
LINUX DO - 热门话题
Google DeepMind News
Google DeepMind News
H
Heimdal Security Blog
S
Schneier on Security
NISL@THU
NISL@THU
The Hacker News
The Hacker News
Attack and Defense Labs
Attack and Defense Labs
A
Arctic Wolf
V2EX - 技术
V2EX - 技术
Security Latest
Security Latest
AWS News Blog
AWS News Blog
Scott Helme
Scott Helme
W
WeLiveSecurity
S
Secure Thoughts
Y
Y Combinator Blog
GbyAI
GbyAI
H
Hackread – Cybersecurity News, Data Breaches, AI and More
博客园 - Franky
量子位
人人都是产品经理
人人都是产品经理
雷峰网
雷峰网
K
Kaspersky official blog
P
Privacy & Cybersecurity Law Blog
T
Tenable Blog
The GitHub Blog
The GitHub Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
J
Java Code Geeks
Vercel News
Vercel News
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Schneier on Security
Schneier on Security
云风的 BLOG
云风的 BLOG
小众软件
小众软件
Engineering at Meta
Engineering at Meta
宝玉的分享
宝玉的分享
C
CERT Recently Published Vulnerability Notes
Security Archives - TechRepublic
Security Archives - TechRepublic
C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Palo Alto Networks Blog

博客园 - Rickie

DeepSeek-V3 解读:优化效率与规模 一步一步构建RAG智能问答系统 Milvus向量数据库入门实践 LangChain轻松入门和开发实践 Hugging Face 轻松入门 PyTorch深度学习零基础入门 Spring Security OAuth2+JWT开发实践 Redis 7.x 入门和开发实战 RedisInsight :Redis 官方可视化工具 Hadoop v3.1 大数据技术快速入门 《Apache RocketMQ 深入浅出》系列文章 Kafka v2.3 快速入门与实践 Apache Doris 轻松入门和快速实践 一步一步编译最新版Apache Doris 0.15版本的详细过程 COLA 4.x和DDD项目实践精粹 阿里开源COLA 4.0源码编译和部署过程 Java实体映射工具MapStruct 与BeanUtils性能比较 阿里DDD项目最佳实践-COLA 架构总览 Java实体映射工具MapStruct详解
Spring Security开发实践
Rickie · 2022-12-30 · via 博客园 - Rickie

Spring Security 是 Spring 家族中用于提供认证、授权和攻击防护功能的一套安全框架。它也是 Spring 应用在安全框架方面的公认标准。

Spring Security 安全框架适合为 Spring Boot 项目提供安全保护,所以如果您是个 Spring Boot 项目的开发人员,且正在寻找一种可以和 Spring Boot 轻松集成的,用于认证和鉴权的框架时,可以优先考虑 Spring Security。

Spring Security 的核心特性包括:认证和授权、常规攻击防范、与 Servlet 接口集成、与 Spring Boot 应用集成等。

认证和授权的目的是,让系统知道使用者是谁(认证)?是什么样的身份?允许他做什么?禁止他做什么?通常的做法是要求用户输入自己的用户名和密码,来实现登录和授权的过程。

本技术专栏提供了示例项目的源代码(购买完整专栏可获取),专栏中提供了下载链接:

 

专栏大纲

Spring Security 是 Spring 家族中规范化的安全框架。它帮助我们轻松地构建应用安全环境,可以快速地实现认证(Authentication)和权限(Authorization)管理,它帮助我们规范化开发过程,是一套完整、成熟、易用的开发框架。

Java 环境下有两大安全框架:Spring Security 和 Apache Shiro。

和 Spring Security 一样,Shiro 同样隶属于一个强大的软件社区: Apache。二者的功能类似,都完成了认证和鉴权功能,都有超过十年的发展历史。Shiro 是一个独立的安全框架,Spring Security 则与 Spring 关联紧密,所以在二者的选择上,可以简单的用如下原则区分:

如果我们开发 Spring Boot 项目,那优先建议使用 Spring Security 安全框架。如果我们开发其他类型的项目,那请使用 Shiro 作为安全框架。

本技术专栏从零开始详细介绍了Spring Security的工作原理和开发实践过程,包括基于内存和数据库的用户认证、自定义用户认证、基于URL地址和访问级别的授权、密码编码、加密模块、默认过滤器链、自定义过滤器、自定义认证和动态授权的开发实践、自定义异常处理、单元测试、自定义登录和登出页面、同源策略(SOP)、跨站请求伪造(CSRF)、跨域资源共享(CORS)、CSRF攻击防御、前后端分离CORS跨域请求等等。

开发环境:Spring Boot 2.3.7.RELEASE + Spring Security 5.3.6.RELEASE

本技术专栏主要包含如下章节,并附带有示例项目源码:

  • 轻松创建Spring Security 入门应用

  • Spring Security应用请求流程、认证流程和认证方式

  • Spring Security 基于内存认证的开发实践

  • Spring Security基于数据库用户存储方案的开发实践

  • 初步理解Spring Security 工作流程和过滤器机制

  • 理解Spring Security中的用户对象

  • 理解Spring Security中的认证对象

  • 开发实践:基于Spring Security 实现自定义用户认证的详细过程【1】

  • 开发实践:基于Spring Security 实现自定义用户认证的详细过程【2】

  • 开发实践:基于Spring Security 实现自定义用户认证的详细过程-注册新用户

  • Spring Security中PasswordEncoder 密码校验和密码加密流程

  • Spring Security 中DelegatingPasswordEncoder 代理类简介和使用

  • Spring Security中的加密模块(Crypto)和使用入门

  • 轻松理解Spring Security中的授权、角色和权限

  • 实现Spring Security 基于URL地址级别的授权保护

  • 简要分析Spring Security 的授权流程

  • 实现Spring Security基于方法级别的授权保护

  • 如何查看Spring Security 过滤器链中的过滤器?

  • 轻松实现Spring Security框架中自定义过滤器

  • 轻松实现自定义过滤器检查请求头(Request Header)信息

  • 开发实践:基于Spring Security 实现可配置的动态授权-创建示例项目、表、模型和Repository

  • 开发实践:基于Spring Security 实现可配置的动态授权-实现自定义授权接口

  • 开发实践:基于Spring Security 实现可配置的动态授权- 自定义安全配置类

  • 开发实践:基于Spring Security 实现可配置的动态授权- 测试效果

  • 开发实践:Spring Security中的单元测试

  • 开发实践:基于Spring Security实现自定义AuthenticationEntryPoint

  • 开发实践:基于Spring Security实现自定义AccessDeniedHandler

  • 开发实践:自定义Spring Security登录和登出页面

  • 同源策略(SOP)、跨站请求伪造(CSRF)攻击和防御

  • 开发实践:基于Spring Security实现CSRF跨站攻击防御

  • 了解跨域资源共享(CORS)和请求流程

  • 开发实践:Spring Boot 应用跨域解决方案

  • 开发实践:在Spring Security应用项目中解决跨域问题