引言

Spring Security 是一个框架，它提供各种安全特性，如：身份验证、授权，以创建安全的 Java 企业应用程序。

它是 Spring 框架的一个子项目，于 2003 年由 Ben Alex 发起。后来，在 2004 年，它在 Apache 许可下作为 Spring Security 2.0.0 发布。

它克服了在创建非 Spring Security 应用程序时出现的所有问题，并为应用程序管理新的服务器环境。

这个框架主要针对应用程序的两个主要领域：身份验证和授权。身份验证是了解和识别想要访问的用户的过程。

授权是允许权限在应用程序中执行操作的过程。

我们可以应用授权来授权 Web 请求、方法和访问单个域。

支持 Spring Security 集成的技术

Spring Security 框架支持广泛的身份验证模型。这些模型由第三方或框架本身提供。Spring Security 支持与所有这些技术集成。

• HTTP BASIC 身份验证标头
• HTTP Digest 身份验证标头
• HTTP X.509 客户端证书交换
• LDAP (轻量级目录访问协议)
• 基于表单的身份验证
• OpenID 身份验证
• 自动记住我身份验证
• Kerberos
• JOSSO (Java 开源单点登录)
• AppFuse
• AndroMDA
• Mule ESB
• DWR(直接 Web 请求)

这个框架的优点在于其灵活的身份验证特性，可以与任何软件解决方案集成。有时，开发人员希望将其与不遵循任何安全标准的遗留系统集成，Spring Security 在这里可以很好地工作。

优点

Spring Security 有很多优点。下面给出了一些。

• 全面支持身份验证和授权。
• 防止常见任务
• Servlet API 集成
• 与 Spring MVC 集成
• 可移植性
• CSRF 防护
• Java 配置支持

Spring Security 历史

在 2003 年末，一个名为 Acegi Security System for Spring 的项目启动，旨在开发一个基于 Spring 的安全系统。因此，实现了一个简单的安全系统，但未正式发布。开发人员在内部使用该代码来解决他们的方案，到 2004 年，大约有 20 位开发人员在使用它。

最初，身份验证模块不是项目的一部分，大约一年后，添加了该模块，并重新配置了整个项目以支持更多技术。

一段时间后，该项目成为 Spring 框架的一个子项目，并在 2006 年以 1.0.0 的形式发布。

在 2007 年，该项目被重命名为 Spring Security，并被广泛接受。目前，它受到全球开发人员开放社区的认可和支持。