持续创作，加速成长！这是我参与「掘金日新计划 · 10 月更文挑战」的第2天，点击查看活动详情\

Spring Security

Spring 是非常流行和成功的 Java 应用开发框架，而Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架，提供了一套 Web 应用安全性的完整解决方案。 主要包括“认证”和“授权”（或者访问控制），一般来说，Web 应用的安全性包括用户认证（Authentication）和用户授权 （Authorization）两个部分，这两点也是 Spring Security 重要核心功能。

• （1）用户认证指的是：验证某个用户是否为系统中的合法主体，也就是说用户可不可以进入系统。用户认证一般要求用户提供用户名和密码，然后通过系统校验来完成认证过程。通俗点说就是系统判断用户是否能登录系统。
• （2）用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如再一个商城系统里，对与顾客来说，只能够查看商品的价格，而对于商家来说，他可以修改售卖的商品的价格，而不同的商家也只能修改自己的店铺里商品的价格。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一某些的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。\

Spring Security的特点

• 可以和 Spring 无缝整合。
• 全面的权限控制。
• 专门为 Web 开发而设计。
• 旧版本不能脱离 Web 环境使用。新版本对整个框架进行了分层抽取，分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境，所以比较重量级。

对比一下Shiro (Apache 旗下的轻量级权限控制框架)。Shiro的特点是：

• 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求 的互联网应用有更好表现。
• 通用性。 不局限于 Web 环境，可以脱离 Web 环境使用。
• 缺陷：在 Web 环境下一些特定的需求需要手动编写代码定制。

Spring Security 是 Spring 家族中的一个安全管理框架，实际上，在 Spring Boot 出现之 前，Spring Security 就已经发展了多年了，但是使用的并不多，因为 SSM 中整合 Spring Security 比较麻烦，而 Shiro 就显得比较灵活，所以，Spring Security 虽然功能比 Shiro 强大，但是使用率不高。自从有了 Spring Boot 之后，Spring Boot 对于 Spring Security 提供了自动化配置方案，可以使用更少的配置来使用 Spring Security。 因此，一般来说，常见的安全管理技术栈的组合是这样的：

• SSM + Shiro
• Spring Boot/Spring Cloud + Spring Security 以上只是一个推荐的组合而已，如果单纯从技术上来说，无论怎么组合，都是可以运行的。

Spring Security的初体验

1.创建一个springboot工程，导入相关的依赖，主要有两个：

<!-- 父工程里面指定的有版本号，这里用的是2.7.4-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.编写controller进行测试，写一个非常简单的

@RestController
@RequestMapping("/test")
public class HelloSecurity {
    @GetMapping("/hello")
    public String hello(){
        return "hell0 security";
    }
}

3.启动服务，访问接口，会进入到如下页面，此时需要输入用户名和密码才能进入，用户名默认为‘user’，密码在日志里面，跟在‘Using generated security password:’后面，然后就可以访问到接口。

Spring Security的本质就是一系列的过滤器链，通过逐层的过滤来实现认证和授权。