SpringSecurity6从入门到上天系列第一篇：SpringSecurity6开篇介绍从概念开始把SpringSecurity6送上天

文章目录

springsecurity-toc" style="margin-left:0px;">一：什么是SpringSecurity

1：核心内容

(一)：用户认证Authentication

(二)：用户授权Authorization

2：安全框架对比

shiro-toc" style="margin-left:80px;">(一)：Shiro

(二)：Spring Security

(三)：Sa-Token

(四)：开发者自定义

二：SpringSecurity的历史

1：SpringSecurity前身

2：SpringSecurity迭代历史

3：SpringBoot对SpringSecurity的颠覆

一：什么是SpringSecurity

        Spring Security是个功能强大,且高度可定制的身份验证和访问控制框架。它是保护基于 Spring应用程序的事实标准。

        Spring Security是一个框架，专注于为java 应用程序提供身份验证和授权。与所有 Spring项目样，spring Security 的真正强大之处在于它可以轻松地扩展以满足自定义需求。

        Spring Security是Spring家族中的一个 功能强大、可进行 身份验证 (认证) 和 访问控制(授的框架，用于实现系统中的 权限管理

1：核心内容

        一般来说，Web应用的安全性包括 用户认证 和 用户授权 两个部分，这两点也是SpringSecurity的主要核心内容。

(一)：用户认证Authentication

        用户认证，就是验证一个用户是否是合法身份，能否访问该系统的过程，最简单的用户认证方式就是要求用户输入的用户名和密码，系统通过用户名和密码来校验用户身份是否合法。常见的认证方式还有 基于生物学特征的身份验证，需要录入指纹、人脸识别等;还有要求通过硬件Key等刷卡的系统，需要刷卡。

(二)：用户授权Authorization

        用户授权，就是控制一个合法用户有权限执行哪些操作，也就是访问控制，控制谁能访问哪些资源。用户在身份认证后，需要分配权限方可访问系统的资源，对于没有权限的资源用户是不能访问的。如，购物网站 买家登录系统能查询、加购物车、下订单，卖家登录后可以添加商品、修改价格、发货，卖家能做的操作买家是不能操作的，这就是不同的人有不同的权限，做不同的事情。

2：安全框架对比

        在 Java EE 企业级开发中，安全管理架目前比较常见的有:

(一)：Shiro

        优点: 轻量级的安全管理框架 (Apache提供) 、简单(把复杂的事情变简单)、易于集成也可以在JavaSE环境中使用等。
        缺点: 在微服务时代，shiro就显得力不从心了，在微服务面前和扩展方面，无法充分展示自己的优势。

(二)：Spring Security

        优点: 作为 Spring家族中的一员，和Spring等技术可以实现无缝整合。同时对OAuth2有着良好的支持，再加上Spring Cloud对 Spring Security 的不断加持 (推出Spring Cloud Security)，让Spring Securiy不知不觉中成为微服务项目的首选安全管理方案。

        缺点: 重量级

        当前微服务体系首选！他的功能比shiro强大的多得多！

(三)：Sa-Token

        轻量级的Java权限认证框架，主要解决登录认证、权限认证、OAuth2.0、分布式Session会话、微服务网关鉴权等一系列权限相关问题。Sa-Token使用简单，功能强大，只需一行代码就可以完成会话登录或校验登录状态。

        Sa-Token更适合于前后台分离架构，支持多种模式和场景的token生成和验证。

        Sa-Token是一个相对较新的框架，但已经获得了不少关注和好评

(四)：开发者自定义

        即程序员开发实现权限管理，基于角色的访问控制 (Role-Based A***ess Control简称0RBAC)。但是一个系统的安全，不仅仅是登录和权限控制这么简单，我们还要考虑种各样可能存在的网络攻击以及防御策略，从这个角度来说，开发者自己实现安全管理也并非是一件容易的事情，只有大公司才有足够的人力物力去支持这件事情。

二：SpringSecurity的历史

1：SpringSecurity前身

        Spring Security 最早叫 Acegi Security，是基于 Spring，可以帮助我们为项目建立丰富的角色与权限管理系统。Acegi security 虽然好用，但是最为人诟病的则是它臃肿烦琐的配置这一问题最终也遗传给了 Spring Security。

2：SpringSecurity迭代历史

        Acegi Security始于2003 年
        2007年被并入Spring组合项目，并更名为 Spring Security
        2008 年4月发布了改名后的第个版本 Spring Security 2.0.0Spring Security 最新版本6.1.5,SNAPSHOT版本6.2.0

3：SpringBoot对SpringSecurity的颠覆

        和Shiro 相比，Spring Security重量级并且配置烦琐。自从 Spring Boot 推出后，就彻底颠覆了传统的 JavaEE 开发，自动化配置让许多事情变得非常容易。SpringBoot 对SpringSecurity 提供了自动化配置方案，只需要引入一个依赖，不需要任何额外配置，!项目的所有接口就会被自动保护起来了。在 Spring Cloud 中，很多涉及安全管理的问题，也是 Spring Security 依赖两行配置就能搞定，在和 Spring 家族的产品一起使用时，Spring Security 的优势就非常明显了