一、Spring Security介紹

spring security 是基于 spring 的安全框架。它提供全面的安全性解決方案，同時在 Web 請求級和方法調用級處理身份確認和授權。在 Spring Framework 基礎上，spring security充分利用了依賴注入（DI）和面向切面編程（AOP）功能，為應用系統(tǒng)提供聲明式的安全訪問控制功能，減少了為企業(yè)系統(tǒng)安全控制編寫大量重復代碼的工作。是一個輕量級的安全框架。它與Spring MVC 有很好地集成．

核心功能：

認證、驗證

原理：

基于 Filter ， Servlet， AOP 實現(xiàn)身份認證和權限驗證

二、實例驅動學習

使用的框架和技術：

spring boot 2．0．6 版本

spring security 5．0．9 版本

maven 3 以上

jdk8 以上

idea 2019

案例（使用內存中的用戶信息）

1）使用：WebSecurityConfigurerAdapter 控制安全管理的內容。

需要做的使用：繼承 WebSecurityConfigurerAdapter，重寫方法。實現(xiàn)自定義的認證信息。重寫下面的方法。

protected void configure（AuthenticationManagerBuilder auth）

2）spring security 5 版本要求密碼比較加密，否則報錯

java．lang．IllegalArgumentException： There is no PasswordEncoder

mapped for the id ＂null＂

實現(xiàn)密碼加密：

1）創(chuàng)建用來加密的實現(xiàn)類（選擇一種加密的算法）

＠Bean

public PasswordEncoder passwordEncoder（）｛

／／創(chuàng)建 PasawordEncoder 的實現(xiàn)類， 實現(xiàn)類是加密算法

return new BCryptPasswordEncoder（）；

｝

2）給每個密碼加密

PasswordEncoder pe ＝ passwordEncoder（）；

pe．encode（＂123456＂）

注解：

1． ＠Configuration ：表示當前類是一個配置類（相當于是 spring 的 xml

配置文件），在這個類方法的返回值是 java 對象，這些對象放入到

spring 容器中。

2． ＠EnableWebSecurity：表示啟用 spring security 安全框架的功能

3． ＠Bean：把方法返回值的對象，放入到 spring 容器中。

三、基于角色的權限

認證和授權：

authentication：認證，認證訪問者是誰。 一個用戶或者一個其他系統(tǒng)是不是當前要訪問的系統(tǒng)中的有效用戶。

authorization：授權，訪問者能做什么

RBAC 是什么：

RBAC 是基于角色的訪問控制（Role－Based Access Control ）在 RBAC 中，權限與角色相關聯(lián)，用戶通過成為適當角色的成員而得到這些角色的權限。這就極大地簡化了權限的管理。這樣管理都是層級相互依賴的，權限賦予給角色，而把角色又賦予用戶，這樣的權限設計很清楚，管理起來很方便。

RBAC： 用戶是屬于角色的， 角色擁有權限的集合。 用戶屬于某 個角色， 他就具有角色對應的權限。

RBAC 設計中的表：

1．用戶表： 用戶認證（登錄用到的表）

用戶名，密碼，是否啟用，是否鎖定等信息。

2．角色表：定義角色信息

角色名稱， 角色的描述。

3．用戶和角色的關系表： 用戶和角色是多對多的關系。

一個用戶可以有多個角色， 一個角色可以有多個用戶。

4．權限表， 角色和權限的關系表

角色可以有哪些權限。

定義用戶，角色，角色關系表：

sys＿user：用戶信息表

sys＿role：角色表

sys＿user＿role： 用戶－角色關系表

以上Spring Security全套視頻資料可評論/私信獲取~~~