一、SpringSecurity是什么、可以做什么

SpringSecurity是一个可以提供认证、授权的服务框架,是Spring家族的一员,为Spring框架提供了给力的安全支持。

那问题来了,什么是认证,又什么是授权。

  • 简单来讲认证就是检查你的登录信息,比如说使用 用户名+密码 登录一个系统,如果账号密码匹配成功,就可以理解为认证成功;
  • 授权就规定了这个登录系统的用户可以做些什么事情。比如说小于在百度帖吧注册了个号,想把那个sb楼主写的垃圾文章删掉,这如果真能删掉,那现在的百度贴吧不是没落而是应该直接被人道毁灭了。这就是授权,什么人能做什么事,什么人不能做什么事。

在SpringBoot出现之前,大部分开发者使用的安全框架应该是ApacheShrio。没有SpringBoot自动配置的SpringSecurity,学习成本相对高点,配置也相对复杂,属于重量级的安全框架,让很多伪开发者望而却步,而SpringBoot出现后,上面那些问题得到了一定程度的缓解,所以SpringSecurity就跟着火了起来。(有多火?入夏了,能不火吗,而且还很热)

为什么说SpringSecurity是重量级的安全框架,因为她对认证授权安全等方面提供了巴适的支持。比如说Oauth2、单点登录、匿名登录、对特定接口授权、对特定对象授权、抵御XSS/CSRF攻击等等。总有那么几点合你心水。

等等,你是不是漏了什么东西,为什么是为Spring框架提供支持呢?emmmm,你一个做Java开发的,能不用Spring吗??