学习Spring Security的核心理念,包括重要的术语和产品架构。
涉及内容:
- 了解应用中安全的重要概念;
- 使用 Spring Security 的快速配置功能;
- 理解 Spring Security 的全貌;
- 探讨认证和授权的标准配置选项;
- 在 Spring Security访问控制中使用 Spring的表达式语言( Spring Expression Language);
安全的核心概念
认证
认证识别系统中的某一个用户,并将其与一个可信任的(即安全的)实体关联。一般来讲,软件系统会被分为两个层次的访问范围,如未认证通过(或匿名的)和认证通过的。
授权
授权保证授权过的用户能够对功能和数据进行恰当的访问。构建应用的安全模块的主要任务是拆分应用的功能和数据并将权限、功能和数据、用户结合起来,以实现对这些内容的访问能够被很好的控制。
数据库认证安全
数据库认证信息不安全且很容易获取
敏感信息
个人的识别信息和敏感数据很容易获取或没有加密
数据传输层保护
不安全的传输层保护,没有使用SSL加密
安全的复杂之处:安全web请求的架构
理解web请求的整体流程以及它们是如何创业实现功能的拦截器链,对我们成功了解spring security的高级话题至关重要。记住认证和授权的基本概念,因为它们贯穿我们要保护的系统架构的始终。
用户是怎样认证的
