基于Spring Security的web应用安全控制研究与实现
摘要:针对web应用安全控制问题,提出了一种基于spring security开源的安全框架的解决方案,分别从web应用中的用户认证和授权两个方面实现对web应用安全的控制,从而提高web应用的安全性。
关键词:web应用 spring security 安全访问控制
0 引言
web应用作为一种开放式的服务平台,其无时无刻不在面临非法访问者的访问或者攻击,同时也面临内部用户的非法操作,使得存储在web应用中的数据时刻可能被窃取和破坏的危险。这就需要我们提供一定的安全控制规则来确保web应用的安全。然而在系统实施web应用安全控制的时候,主要有:基于web容器的安全认证。基于第三方插件的安全认证。独立开发的安全认证。对于第一种方式,它是传统的安全认证方式,对具体的web服务器依赖强,移植代价高。对于第二种方式,不依赖具体的web服务器,灵活性强,但受自身功能限制,因此,插件选取很关键。对于第三种方式,其将代码耦合到相应的业务逻辑中,增加维护的难度,降低了开发效率,不便调试。从灵活性、易用性、功能和投入等方面考虑,第二种方式是一种比较理想的方式。如在j2ee平台比较流行的开源框架spring security,其提供了描述性安全访问控制解决方案。本文通过对spring security安全框架的工作原理进行简单的剖析并展示如何将spring security安全框架应用到我们具体的web应用