什么是 Spring Security?核心功能?
Spring Security 是一个基于 Spring 框架的安全框架,提供了完整的安全解决方案,包括认证、
授权、攻击防护等功能。
其核心功能包括:
认证:指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。
授权:指的是验证某个用户是否有权限执行某个操作攻击防护:指的是防止伪造身份
攻击防护:提供了多种防护机制,如跨站点请求伪造(CSRF)防护、注入攻击防护等。
会话管理:提供了会话管理机制,如令牌管理、并发控制等。
监视与管理:提供了监视与管理机制,如访问日志记录、审计等。
Spring Security 通过配置安全规则和过滤器链来实现以上功能,可以轻松地为 Spring 应用程
序提供安全性和保护机制。
认证 (Authentication) 和授权 (Authorization)的区别是什么?
Authentication(认证) 是验证您的身份的凭据(例如用户名/用户 ID 和密码),通过这个
凭据,系统得以知道你就是你,也就是说系统存在你这个用户。所以,Authentication 被称
为身份/用户验证。
Authorization(授权) 发生在 Authentication(认证) 之后。授权嘛,光看意思大家应该
就明白,它主要掌管我们访问系统的权限。比如有些特定资源只能具有特定权限的人才能访
问比如 admin,有些对系统资源操作比如删除、添加、更新只能特定人才具有。
Spring Security 有哪几种常见的认证方式?
1) 基于内存的方式。
2) 基于数据库的方式。此种方式为常用的方式,适用于生产环境。
3) 基于 LDAP 的方式。
LDAP 有配置远程服务器和配置嵌入是的 LDAP