Spring Security安全框架【共16课时】

李兴华中级讲师讲师评分4.8学员4660614课程71

51CTO博主，清华大学出版社特约作者，名师讲坛系列图书作者，资深Java高级讲师。擅长技术有：Java、Android、Oracle等。已经出版图书有《Java开发实战经典》、《JavaWeb开发实战经典》、《And...

畅销套餐
精选套餐
人气套餐
尊享套餐
高薪套餐

Java高级工程师实战课程系列套餐(JSP实战+SSH实战+AJAX异步数据交互）

框架开发起源 —— Java反射编程视频课程

RESTful（Restful设计、Jesey实现WEB服务处理）视频课程

5554人学习

￥299.00

AMR项目实战视频课程（Spring MVC + MyBatis）

企业项目开发中协调一致性组件之ZooKeeper视频课程

6761人学习

￥499.00

更多 5 门课程

Java高级工程师实战课程系列套餐(SSO单点登录+Shiro开发框架）

SSO单点登录（CAS+Shiro+Redis）实战视频课程

7827人学习

￥999.00

【李兴华】Shiro开发框架视频课程(采用Eclipse + Maven进行开发）

Java高级工程师实战课程系列套餐(SSO单点登录+Shiro开发框架）

SSO单点登录（CAS+Shiro+Redis）实战视频课程

7827人学习

￥999.00

【李兴华】Shiro开发框架视频课程(采用Eclipse + Maven进行开发）

课程介绍
课程大纲

适合人群：

掌握了Spring开发框架以及SpringMVC开发框架的Java从业者

你将会学到：

掌握Spring Security的核心设计架构以及SpringSecurity的代码开发

课程简介：

WEB开发基于HTTP协议，并且大部分的WEB应用都会在公网上直接发布，这样一来就需要进行有效的WEB资源管理，在JavaWEB的开发中可以基于Session的形式进行控制，但是考虑到不同WEB应用的场景的需要，也会存在有不同安全防护的要求，所以Spring为了便于SpringMVC中的资源安全，提供了SpringSecurity安全管理框架，在本章中将为读者讲解该框架的各项配置与具体应用。

通过本章的学习可以达到以下的目标：

1、掌握SpringMVC与SpringSecurity的区别与联系，并可以基于Bean的方式实现SpringSecurity的配置；

2、掌握SpringSecurity登录认证与授权检测处理；

3、掌握UserDetails与UserDetailsService接口的使用；

4、掌握SpringSecurity之中的Session管理机制与RememberMe功能的实现；

5、掌握SpringSecurity提供的过滤链的处理机制，并可以利用该机制实现登录验证码校验处理；

6、掌握SpringSecurity注解的配置，并可以基于注解实现用户授权访问控制；

7、掌握SpringSecurity中投票器的使用，并可以采用自定义投票器的与授权层级的联系实现更加灵活的授权管理

课程代码在第一个视频的附件之中提供

展开更多

课程大纲-Spring Security安全框架

第1章WEB认证与授权访问(3小时5分钟9节)
1-1
SpringSecurity简介在一个WEB应用之中除了核心的程序之外，还会包含有许多重要的数据资源，而为了安全的管理这些资源不被泄露，就需要按照既定的规则进行访问，而为了简化这一开发要求，可以使用SpringSecurity安全框架，本课程为读者介绍了该框架的作用。
「仅限付费用户」点击下载“代码.rar”
[16:14]开始学习
1-2
SpringSecurity快速启动SpringSecurity是一组依赖库，在项目之中进行引用后即可生效，本课程通过实例讲解了SpringSecurity开发所需要的环境配置以及WEB整合实现，并且基于一个基础的SpringMVC控制器实现资源保护处理。
[28:39]开始学习
1-3
UserDetailsServiceSpringSecurity为了便于认证与授权信息的存储，提供了UserDetailsService管理接口，本课程为读者分析了该接口的作用，以及相关的UserDetails与GrantedAuthority接口的使用，并采用固定认证信息的方式实现了用户登录处理操作。
[23:39]开始学习
1-4
认证与授权表达式认证只是对用户身份合法性的处理，而为了便于资源的有效管理，往往会结合授权管理机制，SpringSecurity为了便于授权访问，提供了授权配置方法，本课程为读者讲解了该方法的使用，并给出了该方法所支持的表达式语法。
[11:54]开始学习
1-5
SecurityContextHolderSpringSecurity为了便于用户认证与授权数据的获取，提供了SecurityContextHolder上下文管理类，本课程讲解了该类的使用，并且通过实例分析了已登录用户与匿名用户获取到的认证数据信息的区别。
[13:48]开始学习
1-6
SpringSecurity标签支持完整的WEB页面需要根据用户认证与授权信息动态生成视图页面，为了便于相关信息的处理，SpringSecurity提供了专属的页面标签，本课程通过案例为读者讲解了这些标签的使用，并分析了其于Authentication之间的关联。
[12:41]开始学习
1-7
SpringSecurity注解支持SpringSecurity为了增加其配置的灵活性，除了可以使用HttpSecurity进行映射路径的授权检测之外，也支持有注解配置的支持，本课程为读者分析了注解的开启配置，并通过了具体的应用案例实现了四个核心注解的使用分析。
[42:23]开始学习
1-8
CSRF访问控制每一个应用中都会提供有符合应用特色的登录页面，所以在SprignSecurity中支持开发者的登录页面扩展处理，同时对于登录首页、授权错误页都存在有配置上的支持，本课程在已有的程序架构上对登录与注销操作的功能进行了扩充。
[17:57]开始学习
1-9
扩展登录与注销功能每一个应用中都会提供有符合应用特色的登录页面，所以在SprignSecurity中支持开发者的登录页面扩展处理，同时对于登录首页、授权错误页都存在有配置上的支持，本课程在已有的程序架构上对登录与注销操作的功能进行了扩充。
[18:37]开始学习
第2章过滤器(1小时14分钟4节)
2-1
过滤器SpringSecurity的核心逻辑在于过滤链的处理支持，不同的验证模式会有专属的过滤器提供支持，本课程对已有的程序类进行了结构分析，同时解释了FilterChainProxy类的作用，并根据源码显式列出了内置过滤器处理类的名称以及主要作用。
[20:15]开始学习
2-2
Session并行管理账户的安全是系统数据安全的核心步骤，SpringSecurity为了保证账户的安全，提供了并行Session管理的概念，本课程为读者分析了该操作的主要用途，同时通过具体的代码开发实现了用户数据的剔除处理。
[09:22]开始学习
2-3
RememberMe为了简化用户登录认证的处理流程，SpringSecurity也支持有“记住我”的功能支持，本课程通过实例分析了该功能的启用，并结合MySQL数据库解决了RememberMe状态分布式数据存储的功能实现。
[25:56]开始学习
2-4
验证码保护为了保证用户登录处理的安全性，也为了防止用户的账户被暴力破解，现代的开发中都会采用验证码保护的形式进行处理，本课程将对已有过滤器的结构进行扩展，并利用自定义的验证码组件实现了登录验证码的显式以及校验功能的开发。
[19:10]开始学习
第3章投票器(31分钟3节)
3-1
投票器概述SpringSecurity提供了完整的认证与授权检测，但是考虑到项目运行环境的不同，对于认证与授权的检测处理也进行了功能的扩充，提供了投票器的管理策略，利用投票器的方式可以在特定的环境下避免强制性的安全检查所带来的操作繁琐问题，本课程为读者分析了投票操作的意义，并分析了SpringSecurity中投票器处理类的作用。
[08:32]开始学习
3-2
本地IP直接访问为了区分出内网用户与外网用户的访问，可以基于投票器管理机制，实现本地账户的免登录资源访问处理，本课程基于AccessDecisionVoter实现了自定义投票器的开发，并基于AccessDecisionManager子类实现了投票管理。
[12:19]开始学习
3-3
RoleHierarchy为了更加明确的实现授权管理的配置，SpringSecurity支持了权限的层级配置，这样拥有高一级别的权限也可以直接进行低一级别的权限所对应资源的访问操作，本课程通过RoleHierarchy类并结合投票管理器实现了这一层级关系的设置。
[10:36]开始学习