安全管理是Java应用开发中无法避免的问题,目前主流的安全管理框架就是Spring Security和Shiro,其中Shiro一直以使用简单和轻量级著称。然而,随着Spring Boot和微服务的流行,Spring Security受到越来越多开发者的重视,因为Spring Security在和Spring Boot整合时具有先天优势。
目前市面上缺少系统介绍Spring Security的书籍,网上的博客内容又比较零散,这为很多初次接触Spring Security的Java工程师学习这门技术带来诸多不便。
笔者最早于个人博客上连载Spring Security系列教程,连载期间有不少读者加笔者微信讨论Spring Security的相关技术点,让笔者感受到读者对Spring Security的热情,也因此萌生了写一本技术图书来系统介绍Spring Security的想法。在朋友和家人的鼓励之下,这一想法逐步付诸实践,最终完成大家现在看到的这本《深入浅出Spring Security》。
本书以Spring Security 5.3.4为基础,详细介绍Spring Security的基本用法以及相关原理。得益于Spring Boot中的自动化配置,Spring Security上手非常容易,然而这种自动化配置,也让很多初次接触Spring Security的开发者“知其然,而不知其所以然”,仅限于会用,一旦出了漏洞,或者想要定制功能时,就会不知所措。因此,在写作本书过程中,除了基本功能的Demo演示外,还对Spring Security的相关源码做了深入分析,以便读者“知其然,更知其所以然”。
学习Spring Security不仅仅是学习安全管理框架,也是一个学习各种网络攻击与防御策略的过程,Spring Security对很多常见网络攻击,如计时攻击、CSRF、XSS等,都提供了相应的防御策略,因此,我们在学习Spring Security时,也可以顺便研究一下这些常见的网络攻击,以便设计出更加安全健壮的权限管理系统。
本书分为四部分:
第一部分:第1章,这一部分总体介绍Spring Security架构,方便读者从整体上把握Spring Security的功能。
第二部分:第2~12章,这一部分主要介绍Spring Security中的认证功能,以及由此衍生出来的会话管理、HTTP防火墙、跨域管理等。
第三部分:第13~14章,这一部分主要介绍Spring Security中的授权功能,以及常见的权限模型ACL和RBAC。
第四部分:第15章,这一部分主要介绍OAuth2协议在Spring Security框架中的落地。
读者定位
阅读本书需要有一定的Spring Boot基础,对于无Spring Boot基础的读者,可以先学习Spring Boot然后再来阅读本书。学习Spring Boot,可以参考笔者编写的图书《Spring Boot+Vue全栈开发实战》或者笔者的教程:http://springboot.javaboy.org。
源码获取
本书所有的示例代码均存放在GitHub上,地址如下:
https://github.com/lenve/spring-security-book-samples
所有工程均为标准的Maven工程,可以用IntelliJ IDEA或者Eclipse打开。
纠错与勘误
如果读者在阅读本书时发现错误,可以将错误提交到https://github.com/lenve/spring-security-book-samples/issues ,笔者将错误内容汇总后同步发布在http://www.javaboy.org/spring-security-book以及微信公众号“江南一点雨”。修正后的内容将在后续重印的书中得到体现。
交流社区
学无止境,笔者将继续对Spring Security的发展保持关注。关于Spring Security的最新变化,笔者都将发布在微信公众号“江南一点雨”上,读者关注微信公众号后,也可以进入本书微信交流群进行交流。
王松
2021年1月
