Spring Security简介
Spring Security一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转Inversion of Control ),DI(依赖注入Dependency Injection )和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作(参考:https://baike.baidu.com/item/spring%20security/8831652?fr=aladdin)
SpringSecurity官网: https://spring.io/projects/spring-security
Spring Security应用场景
Security在很多企业中作为后台角色有很多,如:
- 权限框架
- 授权认证oauth2.0
- 安全防护(防止跨站点请求)
- Session攻击
- 易于融合SpringMVC
- 。。。
例如下面的场景(两个账户接口控制案例):
- admin 账户 :所有请求都有权限访问。
- userAdd账户 :只能访问查询和添加订单权限(提示403 权限不足或401 没有授权)。
