學(xué)好Spring Security 和Apache Shiro你需要具備這些條件

前言

web應(yīng)用達(dá)到生產(chǎn)需要就必須有安全控制。java web領(lǐng)域經(jīng)常提及的兩大開(kāi)源框架主要有兩種選擇 Spring Security和Apache Shiro 。所以學(xué)習(xí)這兩種框架也是java開(kāi)發(fā)者提高水平的必經(jīng)之路。從今天開(kāi)始連續(xù)一段時(shí)間內(nèi),研究一下Spring Security。如果想學(xué)習(xí)的同學(xué)可以關(guān)注一下公眾號(hào):Felordcn 或者通過(guò)https://felord.cn來(lái)及時(shí)獲取相關(guān)的干貨。

Spring Security 和Apache Shiro
相對(duì)于Apache Shiro,Spring Security提供了更多的諸如LDAP、OAuth2.0、ACL、Kerberos、SAML、SSO、OpenID等諸多的安全認(rèn)證、鑒權(quán)協(xié)議,可以按需引用。對(duì)認(rèn)證/鑒權(quán)更加靈活,粒度更細(xì)??梢越Y(jié)合你自己的業(yè)務(wù)場(chǎng)景進(jìn)行更加合理的定制化開(kāi)發(fā)。在最新的Spring Security 5.x中更是提供了響應(yīng)式應(yīng)用(reactive application)提供了安全控制支持。從語(yǔ)言上來(lái)講,支持使用kotlin、groovy進(jìn)行開(kāi)發(fā)。

Spring Security因?yàn)槭抢昧薙pring IOC 和AOP的特性而無(wú)法脫離Spring獨(dú)立存在。而Apache Shiro可以獨(dú)立存在。但是Java Web領(lǐng)域Spring可以說(shuō)是事實(shí)上的J2EE規(guī)范。使用Java技術(shù)棧很少能脫離Spring。也因?yàn)楣δ軓?qiáng)大Spring Security被認(rèn)為非常重,這是不對(duì)的。認(rèn)真學(xué)習(xí)之后會(huì)發(fā)現(xiàn)其實(shí)也就是那么回事。兩種框架都是非常優(yōu)秀的安全框架,根據(jù)實(shí)際需要做技術(shù)選型。如果你要學(xué)習(xí)這兩種安全框架就必須熟悉一下一些相對(duì)專業(yè)的概念。

認(rèn)證/鑒權(quán)
這兩個(gè)概念英文分別為authentication/authorization 。是不是特別容易混淆。無(wú)論你選擇Apache Shiro 或者 Spring Security 都需要熟悉這兩個(gè)概念。其實(shí)簡(jiǎn)單來(lái)說(shuō)認(rèn)證(authentication)就是為了證明你是誰(shuí),比如你輸入賬號(hào)密碼證明你是用戶名為Felordcn的用戶。而授權(quán)(authorization)是通過(guò)認(rèn)證后的用戶所綁定的角色等憑證來(lái)證明你可以做什么 。打一個(gè)現(xiàn)實(shí)中的例子。十一長(zhǎng)假大家遠(yuǎn)行都要乘坐交通工具,現(xiàn)在坐車實(shí)名制,也就是說(shuō)你坐車需要兩件東西:身份證和車票 。身份證是為了證明你確實(shí)是你,這就是 authentication;而車票是為了證明你張三確實(shí)買了票可以上車,這就是 authorization。這個(gè)例子從另一方面也證明了。如果只有認(rèn)證沒(méi)有授權(quán),認(rèn)證就沒(méi)有意義。如果沒(méi)有認(rèn)證,授權(quán)就無(wú)法賦予真正的可信任的用戶。兩者是同時(shí)存在的。

過(guò)濾器鏈
對(duì)于servlet web應(yīng)用來(lái)說(shuō),想要通用的安全控制最好莫過(guò)于使用Servlet Filter 。 過(guò)濾器責(zé)任鏈(關(guān)于責(zé)任鏈可以通過(guò)https://www.felord.cn/chainpattern.html 來(lái)了解)來(lái)組成一系列的過(guò)濾策略,不同的條件的請(qǐng)求進(jìn)入不同的過(guò)濾器進(jìn)行各自的處理邏輯。我們可以對(duì)這些Filter 進(jìn)行排列組合以滿足我們的實(shí)際業(yè)務(wù)需要。

RBAC模型
RBAC 是基于角色的訪問(wèn)控制(Role-Based Access Control )的簡(jiǎn)稱。在 RBAC 中,權(quán)限與角色相關(guān)聯(lián),用戶通過(guò)成為適當(dāng)角色的成員而得到這些角色的權(quán)限。這就極大地簡(jiǎn)化了權(quán)限的管理。這樣管理都是層級(jí)相互依賴的,權(quán)限賦予給角色,而把角色又賦予用戶,這樣的權(quán)限設(shè)計(jì)很清楚,管理起來(lái)很方便。當(dāng)你擁有某個(gè)角色以后,你自然繼承了該角色的所有功能。對(duì)你的一些操作限制不需要直接與你進(jìn)行溝通,只需要操作你擁有的角色。比如你在公司既是一個(gè)java程序員又是一個(gè)前端程序員,那么你不但要當(dāng)sqlboy還要當(dāng)頁(yè)面仔。如果有一天經(jīng)理說(shuō)了前端負(fù)責(zé)測(cè)試工作,好了你又承擔(dān)了測(cè)試任務(wù)。

其他一些概念
比如其它一些常見(jiàn)的安全策略、攻擊方式。比如 反向代理、網(wǎng)關(guān)、壁壘機(jī)這種偏運(yùn)維的知識(shí);CSRF(Cross-site request forgery)跨站請(qǐng)求偽造 、XSS(跨站腳本攻擊)也需要了解一些。對(duì)于一些上面提到的什么OAuth2.0之類的協(xié)議也最好研究一下。當(dāng)然這些不是必須的。

總結(jié)
本文粗略的簡(jiǎn)述了Spring Security 和Apache Shiro的一些異同。以及學(xué)習(xí)它們的一些前置條件。如果你不滿足這些條件學(xué)習(xí)起來(lái)可能比較吃力。所以本文的作用是為你學(xué)習(xí)預(yù)熱,做一些準(zhǔn)備工作,避免新入門的同學(xué)陷入迷途。也希望大家多多支持,多多關(guān)注。


作者:碼農(nóng)小胖哥



歡迎關(guān)注:碼農(nóng)小胖哥