Spring Security 的前身是 Acegi Security,在被收纳为Spring 子项目后正式更名为Spring Security。在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版本,加入了原生OAuth2.0框架,支持更加现代化的密码加密方式。
可以预见,在Java应用安全领域,Spring Security会成为被首先推崇的解决方案,就像我们看到服务器就会联想到Linux一样顺理成章

总目录:




声明:Spring Security王者晋级文档 以及相关梳理思维脑图 等由于篇幅等的原因,大部分以截图展示,可提供原文件,戳戳领

第1部分

  • 初识Spring Security
  • 表单认证
  • 认证与授权








第2部分

  • 实现图形验证码
  • 自动登录和注销登录、
  • 会话管理
  • 密码加密
  • 跨域与CORS
  • 跨域请求伪造的防护
  • 单点登录与CAS
  • HTTP认证
  • @EnableWebSecurity与过滤器链机制









第3部分

  • 用Spring Social实现OAuth对接






第4部分

用Spring Security OAuth实现OAuth对接

编辑切换为居中
添加图片注释,不超过 140 字(可选)


编辑切换为居中
添加图片注释,不超过 140 字(可选)

为方便教学,这里已经事先为大家准备好了一个半成品的后台管理系统,而想要完善另一部分,就需要用到SpringSecurity了!

第5部分:认证功能实现

  • 案例介绍
  • 初识权限管理
  • 初识Spring Security
  • Spring Security过滤器链
  • SpringSecurity使用自定义认证页面
  • SpringSecurity使用数据库数据完成认证







第6部分:授权

  • 设置用户状态
  • 退出登录
  • remember me
  • 显示当前认证用户名
  • 授权准备工作
  • 动态展示菜单
  • 授权操作
  • 权限不足异常处理









第7部分:整合SpringBoot

  • SpringSecurity整合SpringBoot集中式版
  • 技术选型
  • 初步整合认证第一版
  • 整合认证第二版【加入jsp使用自定义认证页面】
  • 整合认证第三版【数据库认证】
  • 整合实现授权功能
  • SpringSecurity整合SpringBoot分布式版
  • 分布式认证概念说明
  • 分布式认证流程图
  • JWT介绍
  • SpringSecurity+JWT+RSA分布式认证思路分析
  • SpringSecurity+JWT+RSA分布式认证实现








第8部分:OAuth2.0

  • 概念说明
  • 使用场景
  • 说明
  • 建表语句
  • 表字段说明
  • 建父工程并导入jar包
  • 创建资源模块
  • 创建授权模块
  • 测试
  • 在数据库中手动添加客户端信息
  • 授权码模式测试
  • 简化模式测试
  • 密码模式测试
  • 客户端模式测试






很多时候,一个系统的安全性完全取决于系统开发人员的安全意识。例如,在我们从未听过SQL注入时,如何意识到要对SQL注入做防护?关于Web系统安全的攻击方式非常多,诸如 XSS、CSRF等,未来还会暴露出更多的攻击方式,我们只有在充分了解其攻击原理后,才能提出完善而有效的防护策略。学习Spring Security并非局限于降低Java应用的安全开发成本,通过SpringSecurity了解常见的安全攻击手段以及对应的防护方法也尤为重要,这些是脱离具体开发语言而存在的。