java学习笔记IT程序员

阿里资深架构师整理分享的SpringSecurity实战文档

2020-09-21  本文已影响0人  IT程序员

前言

SpringSecurity是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权。

Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版本,不仅新增了原生OAuth框架,还支持更加现代化的密码加密方式。可以预见,在 Java 应用安全领域,Spring Security会成为首先被推崇的安全解决方案。

希望大家能够仔仔细细的品读本文内容,实实在在的掌握到自己的手中,并且能够灵活的运用到实际的工作中去 ,不断强大自身,增加自己的技术深度和宽度,希望能够帮助到大家的学习,也希望能够得到大家的喜欢!!

本文将从目录、主要内容、还有面向读者三部分给大家进行介绍,希望大家能够仔细阅读!!

目录

主要内容

本文通过4部分,14章的内容由浅入深地介绍了Spring Security的方方面面。

第1部分主要讲解Spring Security的基本配置;

第1章初识Spring Security,Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。

第2章表单认证,在第1章中,我们初步引入了SpringSecurity,并使用其默认生效的HTTP基本认证来保护URL资源,本章我们使用表单认证来保护URL资源。

第3章认证与授权,在第2章中,我们沿用了Spring Security默认的安全机制:仅有一个用户,仅有一种角色。在实际开发中,这自然是无法满足需求的。本章将更加深入地对Spring Security迚行配置,且初步使用授权机制。

第2部分剖析Web项目可能遇到的安全问题,并讲解如何使用SpringSecurity进行有效防护;

第4章实现图形验证码,在验证用户名和密码前,引入辅助验证可有效防范暴力试错,图形验证码就是简单且行有效的一种辅助验证方式。下面将使用过滤器和自定义认证两种方式实现图形验证码功能。

第5章自动登录和注销登录,关于网站的安全设计,通常是有一些矛盾点的。我们在作为某些系统开发者的同时,也在充当着另外一些系统的用户,一些感同身受的东西可以带来很多思考。

第6章会话管理,只需在两个浏览器中用同一个账号登录就会发现,到目前为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。

第7章密码加密,密码安全是互联网安全的一个缩影,我们在享受互联网服务的同时,也应当对它投入更多的关注。

第8章跨域与CORS,跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。

第9章跨域请求伪造的防护,CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录态的cookie迚行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨大的安全隐患。

第10章单点登录与CAS,单点登录(Single Sign On,SSO)是指在多个应用系统中,只需登录一次,即可同时以登录态共享企业所有相关又彼此独立的系统的功能。对于旗下拥有众多系统的企业来说,单点登录不仅降低了用户的登录成本,统一了不同系统间的账号体系,还减少了各个系统在用户设计上付出的精力。

第11章HTTP认证,除系统内维护的用户名和密码认证技术外,SpringSecurity还支持HTTP层面的认证技术,包括HTTP基本认证和HTTP摘要认证两种。

第12章@EnableWebSecurity与过滤器链机制,为什么加上@EnableWebSecurity注解就可以让Spring Security起作用?Spring Security又是通过什么方式来拦截请求并执行认证的?下面就带着这两个问题,深入源码一探究竟。

第3部分详细介绍OAuth,并使用Spring Social整合Spring Security,实现QQ快捷登录;

第13章用Spring Social实现OAuth对接,OAuth 解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据以及基本信息的难题。

第4部分重点介绍Spring Security OAuth框架,剖析Spring Security OAuth的部分核心源码。

第14章用Spring Security OAuth实现OAuth对接,Spring Security OAuth是一个专注于OAuth认证的框架,它完整覆盖了客户端、资源服务和认证服务三个模块。这三个模块分别在Spring Security 5.0、5.1和5.3三个版本中被集成,原有的独立项目则进入维护状态。

这份【SpringSecurity实战】共有319页,需要完整版的朋友,可以转发此文关注小编,,,,,,,,,,,,,,w e i x i n公众号搜索【程序员高级码农】来获取!

本文面向的读者

本文包含Spring Security Java配置、Spring Security安全防护和源码导读;

详细讲解OAuth2实战,并简单剖析部分OAuth2核心源码;

本文主要面向有一定Java基础的读者,以及希望在实际项目中应用Spring Security的开发人员。

希望本文能够帮助到大家的学习,也希望大家能够把技术内容全部掌握,运用到实际项目开发工作中去!!!

上一篇下一篇

猜你喜欢

热点阅读