00:01
各位大家好,欢迎观看上硅谷视频课程,下面我们就开始详细学习一下安全管理框架spring security,首先呢给各位先做一个总体的一个介绍,让各位对这个框架一个总体的认识,咱们从几个方面介绍,第一个它的一个概要,包括它的一个简单的历史,以及和同款产品的比较,另外里边一些基本模块的划分,那下面给各位来说一下关于这个security。首先我们看一下它的概述,我这里写到spring框架,各位应该很熟悉了,它是一个非常流行和成功的Java框架,而spring security正是家族中的一个成员,它是基于使用框架,它提供了一整套的完整的web用的安全性的解决方案。而安全性解决方案有哪些呢?我觉得各位同学应该了解过,它主要有两大部分。
01:03
一个叫什么认证,一个叫什么授权,而一般来说呢,一个完整的外部应用的安全性也大体上发现这两部分,一个叫用户认证,一个叫用户授权,而这两部分正是我们学历框架spring security它重要的两大核心部分,那这两大核心部分到底是什么?给各位下面做一个详细的解释,然后咱在后面内容中会有详细的例子给各位来具体演出来,这两部分到底该怎么去用,现在我们做一个概念性的说明,首先我们看它的第一大核心功能用户认证,那什么叫用户认证呢?咱们来说一下啊,他的意思就是啊,验证我的某个用户是否为系统中的合法主体,说的通俗点,比如我现在。我要进入系统进行操作,咱首先是不是要登录,而我登录是不是需要用户名和密码,当你用密码都正确是么?登录这过程就叫用户认证,说的通俗点就是你做这个用户能否登录,这过程就叫用户认证。然后第二部分叫用户授权,什么叫授权呢?他就是判断我的用户是否有权限去做某些事情。
02:24
那我给各位举一个例子,再来说明一下什么叫用户授权,大家注意啊,我觉得各位同学应该都在网上买过东西,比如咱们进入到一些大型的购物网站,比如什么京东啊,淘宝等等,咱们进入之后最终买东西,咱是不是要登录之后付款,包括这个过程,那你注意啊,比如说现在你作为这个普通的用户在京东上登录的。登录之后,当咱们看到一个商品,比如它的价格是1万块钱,那问各位同学啊,你说你现在能把那个价格从1万块钱改成一块钱吗?
03:04
你能改吗?咱们显而易见,是不是肯定不能改,那你说谁能改这个价格,谁可以改,是不是他的商家或者管理员可以改,但你注意啊,同样是用户,商家能登录,你也可以登录,但是你们的操作权限是不一样的,咱们是不是只能看,只能买,商家是不是能改,这叫什么?就叫用户授权,他指的是你用户登录之后,不同的这个人有不同的权限,然后做不同事情,你只能看,只能买,商家才可以改价格,这过程就叫用户授权。所以这两部分是我们学框架中的重要的核心部分,各位把这个给他知道。这是关于spring security,它里边的一个总体上的这么一个概述,这个啊,我们做了一个说明,然后说完之后咱往下看啊,就是咱们现在学这个安全框架,其实他开始于2003年,后来呢,经过多轮的迭代,就是它不断的完善,于2007年成为了斯文中一个正式的一个组合项目,更名为咱们现在这样的一个项目,就是。
04:21
Security这个啊,是它一个简单的历史,各位有一个认识,然后这个说完之后咱再往下看啊,其实我们做这个安全认证或者安全控制个过程,除了咱们现在说这个security这个框架之外,还有一些其他的同款产品,就是其他的框架,有一个框架,不知道各位同学是否听过,咱们看一下这个框架叫这个筛OSHE肉呢,你看啊,是阿帕奇组织里边一个安全框架,这个框架和咱们现在学这个spring security,他们各有它的优缺点,那咱们下面对他做一个简单的一个比较。
05:04
咱们看一下啊,先看这个spring security,就是咱们这课程中要的框架。首先它的特点,第一个它能跟死无缝结合,因为它就是死命中的一个组成部分或者一个模块,然后它有全面的权限控制,就做的特别完善,包你根据那个路径,根据方法等等都可以做全控制。另外他专门为外B开发设计,就是旧版本中的有问题,它不能脱离外部环境,但是在新版本框架中,它跟web这个环境已经分离出来了,可以更好的应用。咱们现在用的肯定是我们的新版本这个spring security的框架。另外它有一个缺点,就是它是一个重量级的框架。什么叫重量级?说的简单点啊,它要依赖于很多其子组件,另外里边还要引入各种的依赖,所以它有这个优缺点。另外筛着是阿帕奇框架,这个框架的特点是什么?轻量级就是里边东西比较少,依赖也比较少,另外它有它的缺陷,就是他在外部环境下一些特定需求需要咱们手动做定制开发,所以各自有各自的利弊,最终给各位总结出一句话,咱们来看一下啊。
06:24
Spring security是家族中的一个安全框框架,实际上在spring boot出现之前,这框架已经有了很多年,但是它在目前使用的过程中并不是很多,因为目前使用过程中啊筛,因为应用很广泛,因为筛更加简单,但是spring security它的功能比she更加强调,自从有了之后这spring security它的开发,包括它的配置也变得更加的简单,所以咱们在目前这种开发中,我们做这种安全控制比较常见的有这么几种组合情况,包括第一个一用筛,或者说用support和这个spring security啊,当然这只是一种推荐的组合,实际中的这种组合不管你怎么做都可以用起来,所以这个是关于两种产品的一个比较,就是各自有它的利弊。
07:23
而我们课程中呢,咱肯定是基于我们的加spring security来完成我们的内容的学习,所以各位把这个给它知道,就是它跟筛的一个比较,一个是重量级,一个是轻量级,而spring security功能更加强大,但筛更加的灵活。这个啊做了一个说明,然后说完之后咱们再来看一下啊,在这个spring security里边呢,有很多的模块,这模块咱们浏览一遍,首先你看啊,第一个扣。是不是核心啊,然后咱们来看里面这地方。
08:00
大家看到是不是一个叫web?刚才我提到在新版本中这个spring security,它都跟web环境已经做了分离,所以里边有一个web这个模块包有count配置,有这个auto to,它是基于这个auto可以做整合。另外里边有CS,就做那个单点登录等的过程,所以里边有各种模块,比如它的功能。更加的强大,所以咱们现在我就把这个spring security给各位做了一个总体的一个介绍,在里边几点我在特别强调,Spring security就是文中的一个组成的一个部分,然后它有两大核心,一个是用户认证,一个是用户授权,而咱们后面要学习内容中的重点,其实就是学这个用spring security这个框架如何做到用户认证,还有用户授权,咱用不同的方式,不同的方法把这两部分做到一个认证,一个授权,所以这个我们就完成了关于three security一个总体上的一个介绍。
我来说两句