关于Spring Security

  Spring Security,这是一种基于Spring AOP和Servlet过滤器 [7] 的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 SpringFramework 基础上,Spring Security 充分利用了依赖注入(DI,Dependency Injection)和面向切面技术。

  Spring security官网 :http://www.springsource.org/spring-security/。

  Spring security百度百科:http://baike.baidu.com/view/2677773.htm (百科页首的图片很形象的描述了Spring security的过滤器链)

关于认证和授权

  首先,认证在前,授权在后。其次,认证时用户获得登录的口令,如果口令错误,用户将无法请求资源;口令正确,则用户需要等待授权,同时在认证的过程中,用 户信息和用户所拥有的角色会被包装成为认证对象传递给授权过程使用。授权时会检查请求资源的权限并与用户所拥有角色的权限对比,如果能够能匹配,则认证通 过,反之不通过。

关于用户,角色,权限,资源的概念

  用户:应用系统的使用者;角色:区分用户职能;权限: 描述访问资源级别;用户和角色是多对多的关系,角色和权限也是多对多的关系。对于某个资源,可能会提供多个访问权限级别,那么只要是持有该权限的角色都是可访问的,最终一个用户是否能访问该资源的问题就演变为一个用户对应的角色所拥有的权限是否包含该资源提供的各种访问级别的权限中的一个。

注:以上内容皆来源于网络,更详细的介绍请自行搜索。

05-28 18:35