安全框架Spring Security2.1 Spring Security简介2.1.1 安全框架概述

​        什么是安全框架？ 解决系统安全问题的框架。如果没有安全框架，我们需要手动处理每个资源的访问控制，非常麻烦。使用安全框架，我们可以通过配置的方式实现对资源的访问限制。

2.1.2 常用安全框架

​        Spring Security：spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

​        Apache Shiro 是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。       

​        我们课程中采用Spring Security。

2.1.3 认证与授权

认证：限制用户只能登陆才可以访问资源。

授权：限制用户必须有某资源的访问权限才可以访问。

2.2 快速入门2.2.1 最简单案例

需求：实现简单的登陆，当用户没有登陆访问主页执行拦截跳转到登陆，登陆后跳转到主页。实现退出登陆的功能，退出后再次访问主页仍然拦截。用户名和密码不连接数据库，直接在配置文件中配置。

（1）新建war工程，pom文件引入依赖    <packaging>war</packaging>     <properties>        <spring.version>5.0.5.RELEASE</spring.version>    </properties>    <dependencies>        <dependency>            <groupId>org.springframework.security</groupId>            <artifactId>spring-security-web</artifactId>            <version>${spring.version}</version>        </dependency>        <dependency>            <groupId>org.springframework.security</groupId>            <artifactId>spring-security-config</artifactId>            <version>${spring.version}</version>        </dependency>        <dependency>            <groupId>javax.servlet</groupId>            <artifactId>servlet-api</artifactId>            <version>2.5</version>            <scope>provided</scope>        </dependency>    </dependencies>    <build>        <plugins>            <plugin>                <groupId>org.apache.tomcat.maven</groupId>                <artifactId>tomcat7-maven-plugin</artifactId>                <configuration>                    <!-- 指定端口 -->                    <port>9090</port>                    <!-- 请求路径 -->                    <path>/</path>                </configuration>            </plugin>        </plugins>    </build>

{noop}是制定密码加密策略为不加密 。noop的意思是明文保存的密码 (noop: No Operation)

（4）webapp下创建index.html，内容随意。

（5）启动工程，打开浏览器输入地址  http://localhost:9090 ，浏览器显示

这个登陆页面时SpringSecurity帮我们自动生成的。

输入正确的密码，进入首页，输入错误的密码显示如下信息

配置说明：

intercept-url 表示拦截页面   

/*  表示的是该目录下的资源，只包括本级目录不包括下级目录

/** 表示的是该目录以及该目录下所有级别子目录的资源

form-login 为开启表单登陆

2.2.2 密码加密策略

修改配置文件中的password为bcrypt加密后的密码，并制定加密策略为bcrypt

安全框架Spring Security2.1 Spring Security简介2.1.1 安全框架概述

​        什么是安全框架？ 解决系统安全问题的框架。如果没有安全框架，我们需要手动处理每个资源的访问控制，非常麻烦。使用安全框架，我们可以通过配置的方式实现对资源的访问限制。

2.1.2 常用安全框架

​        Spring Security：spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

​        Apache Shiro 是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。       

​        我们课程中采用Spring Security。

2.1.3 认证与授权

认证：限制用户只能登陆才可以访问资源。

授权：限制用户必须有某资源的访问权限才可以访问。

2.2 快速入门2.2.1 最简单案例

需求：实现简单的登陆，当用户没有登陆访问主页执行拦截跳转到登陆，登陆后跳转到主页。实现退出登陆的功能，退出后再次访问主页仍然拦截。用户名和密码不连接数据库，直接在配置文件中配置。

（1）新建war工程，pom文件引入依赖    <packaging>war</packaging>     <properties>        <spring.version>5.0.5.RELEASE</spring.version>    </properties>    <dependencies>        <dependency>            <groupId>org.springframework.security</groupId>            <artifactId>spring-security-web</artifactId>            <version>${spring.version}</version>        </dependency>        <dependency>            <groupId>org.springframework.security</groupId>            <artifactId>spring-security-config</artifactId>            <version>${spring.version}</version>        </dependency>        <dependency>            <groupId>javax.servlet</groupId>            <artifactId>servlet-api</artifactId>            <version>2.5</version>            <scope>provided</scope>        </dependency>    </dependencies>    <build>        <plugins>            <plugin>                <groupId>org.apache.tomcat.maven</groupId>                <artifactId>tomcat7-maven-plugin</artifactId>                <configuration>                    <!-- 指定端口 -->                    <port>9090</port>                    <!-- 请求路径 -->                    <path>/</path>                </configuration>            </plugin>        </plugins>    </build>

{noop}是制定密码加密策略为不加密 。noop的意思是明文保存的密码 (noop: No Operation)

（4）webapp下创建index.html，内容随意。

（5）启动工程，打开浏览器输入地址  http://localhost:9090 ，浏览器显示

这个登陆页面时SpringSecurity帮我们自动生成的。

输入正确的密码，进入首页，输入错误的密码显示如下信息

配置说明：

intercept-url 表示拦截页面   

/*  表示的是该目录下的资源，只包括本级目录不包括下级目录

/** 表示的是该目录以及该目录下所有级别子目录的资源

form-login 为开启表单登陆

2.2.2 密码加密策略

修改配置文件中的password为bcrypt加密后的密码，并制定加密策略为bcrypt