Spring Security系列之核心概念

提到安全，相信大家的第一反应都是加密，什么MD5、AES、SHA-256算法之类东西。没错加密各种算法是安全的基础。针对于基础的安全设施， Java Security 模块 提供了各种安全域的API、PKI、密码学及其内建实现、安全通信、认证、访问控制等丰富的功能，这些都是安全的基础。在Web应用的开发中，对于各种攻击防守，对于认证、授权的实现实现方案是极为重要的。Spring Security项目就是认证、授权、防攻击实现方案的集成框架。学习框架之前，必须要对安全领域的核心的概念进行梳理，这也是 Spring Security 本身所关注的点。

对请求资源的用户身份进行验证的过程，解决的是“这是谁请求的？”的问题。

确认当前用户是否有权限访问资源的过程，解决的是“他能不能做这个 *** 作？”的问题。

跨站请求伪造（Cross Site Request Forgery）

请求是由外部网站伪造发送到目标服务服务器，而不是由用户主动发送请求至目标服务器这种伪造请求就是叫做CSRF。

同步令牌模式（Synchronizer Token Pattern） ，针对Post请求（避免get，会导致令牌泄漏），在请求参数中（一般是头部）增加同步令牌，服务器校验传入令牌的一致性判断是否是正确请求。请求令牌是从Cookie中获取的，由于同源策略外部站点无法获得令牌。能很好的解决该问题。

通常存在用户Session中。为什么不存在cookies中？这是一种早期处理方案，早期一些系统将token存在cookies中但是会出现了漏洞同 Ruby on Rails的CSRF保护绕过一样 ，同时系统失去了紧急情况下对于令牌的失效保护。web应用开发中关键信息存放在后台是一种比较安全的方式。令牌可能会随着Session过期而过期，可以通过主动取或者被动刷新的方式处理。

SameSite 是>

Spring是一个英文单名词、形容词、及物动词、不及物动词，作名词时翻译为“春天；d簧；泉水；活力；跳跃，人名；（德）施普林；（英、芬、瑞典）斯普林”，作形容词时翻译为“春天的”，作及物动词时翻译 为“使跳起；使爆炸；突然提出；使d开”，作不及物动词时翻译为“生长；涌出；跃出；裂开”。

但你知道吗？

Spring对于我国软件业从业人员的809万人来说，Spring已不单单是一个单词，而是一个开放源代码的J2EE应用程序框架，由Rod Johnson发起，是针对bean的生命周期进行管理的轻量级容器（lightweight container）。

Spring解决了开发者在J2EE开发中遇到的许多常见的问题，提供了功能强大IOC、AOP及Web MVC等功能。Spring可以单独应用于构筑应用程序，也可以和Struts、Webwork、Tapestry等众多Web框架组合使用，并且可以与 Swing等桌面应用程序AP组合。

因此， Spring不仅仅能应用于J2EE应用程序之中，也可以应用于桌面应用程序以及小应用程序之中。

自2003年发布以来，Spring框架的优势使其成为许多组织的首选Java框架。

---