Spring security 简要介绍
Spring security
应用安全一般可分成两个方面,一是认证:确认使用者的身份,创建对应的principal(这个词代表一个经过确认的身份信息);二是鉴权:判定某个principal是否有访问某个资源或执行某个操作的权限。
核心类
- SecurityContextHolder
用于存储安全上下文(security context)的信息,即一个存储身份信息,认证信息等的容器。 - Authentication
Authentication是 Spring Security 中的一个重要接口,直接继承自 Principal类,该接口表示对用户身份信息的抽象 - AuthenticationManager
AuthenticationManager是身份认证器,认证的核心接口,该接口只有一个 authenticate()方法,用于身份信息的认证,如果认证成功,将会返回一个带了完整信息的Authentication
在Spring Security中,AuthenticationManager默认的实现类是 ProviderManager - UserDetailService 和 UserDetail
UserDetailsService简单说就是加载对应的UserDetails的接口(一般从数据库),而UserDetails包含了更详细的用户信息 - PasswordEncoder
Spring Security要求容器中必须有PasswordEncoder实例(客户端密码和数据库密码是否匹配是由Spring Security 去完成的,Security中还没有默认密码解析器) - BCryptPasswordEncoder
BCryptPasswordEncoder是Spring Security官方推荐的密码解析器