1. ⽤户信息管理。
2. 敏感信息加解密。
3. ⽤户认证。
4. 权限控制。
5. 跨站点请求伪造保护。
6. 跨域⽀持。
7. 全局安全⽅法。
8. 单点登录。

搭建Spring Security应用

在idea中构建一个Spring Security的应用，选择Spring Web和Spring Security来让idea自动引入对应的maven坐标。

应用构建完成后，自行创建一个控制器类，用户测试访问：

package com.example.springsecurity.controller;import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;@RestController
public class SampleController {@GetMapping("/hello")public String hello() {return "Hello World";}
}

设置应用启动的端口

启动应用，控制台会输出一串密码：

浏览器访问新建的控制器，会自动跳转到登录页面，用户名：user，密码是控制台输出的字符串。

登录成功后，就可以看到控制器返回的信息。

如果没有使用Spring Security框架，就不会弹出登录页面，而是直接返回结果。

两种认证模式

在日常开发中，一般不会这么使用，常见的使用方法包括两种形式：表单认证、基础认证

表单认证

表单认证是默认的认证模式。

用户登录完成，服务器会生成sessionID，sessionID会自动返回给浏览器并放在cookie中，后面发送的请求，都会带上sessionID，服务器端根据sessionID进行认证。

基础认证

在代码中新增SecurityConfiguration类，完成基础认证操作。

package com.example.springsecurity;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import static org.springframework.security.config.Customizer.withDefaults;@Configuration
public class SecurityConfiguration {@Beanpublic SecurityFilterChain filterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests((authz) -> authz.anyRequest().authenticated()  //任何请求都要认证).httpBasic(withDefaults());//开启基础认证模式return http.build();}
}

启动应用

用户名：user，密码是控制台中输入的字符串。

登录完成，返回了接口信息。

浏览器控制台，可以看到 authorization:Basic dXNlcjphYWEwZjcwNy0wNGViLTQ3YjUtODAxZi0xZmM4NmVmMjAzYjg=，这就是基础认证的信息，Basic表示基础认证，后面的字符串是用户名和密码通过base64编码后的信息。