SPRING SECURITY原理与实战:构建安全可靠的微服务

第1章 无所不在的软件安全 1.1 软件应用涉及的安全范围 1.1.1 基础设施之硬件层面 1.1.2 公共服务之软件层面 1.2 软件层面的安全风险与经验对策 1.2.1 身份认证 经验分享：如何应对弱密码 经验分享：如何应对session或token异常 1.2.2 访问控制 经验分享：如何应对非法访问 1.2.3 应用数据 经验分享：如何应对数据的明文传输 经验分享：如何应对数据的明文存储 微服务的软件安全解决方案 1.3.1 微服务架构与单体架构下软件安全的不同 1.3.2 微服务架构下身份认证 经验分享：不同的身份认证解决方案应该如何选择 1.3.3 微服务架构下的访问控制 经验分享：不同的访问控制解决方案应该如何选择 1.3.4 如何处理微服务架构下的软件安全 1.4 主流的安全框架 1.4.1 简单易用的轻量级安全框架——Apache Shiro 1.4.2 功能强大的重量级安全框架——Spring Security 第2章 安全框架Spring Security 2.1 Spring Security的前世今生 2.2 Spring Security整体工作流程与知识回顾 2.2.1 Spring Security整体工作流程 2.2.2 了解原理前的知识回顾：Servlet 与Filter过滤器 2.3 Spring Security架构实现原理 2.3.1 过滤器代理 源码解析：DelegatingFilterProxy与GenericFilterBean 源码解析：FilterChainProxy 2.3.2 过滤器链 源码解析： SecurityFilterChain、RequestMatcher与FilterOrderRegistration 2.3.3 异常处理部分 源码解析：ExceptionTranslationFilter 2.4 Spring Security核心功能 2.4.1 判断用户是谁——认证 2.4.2 确定用户权限——授权 2.4.3 全方位防护——针对常见漏洞的保护 第 3章 Spring Security基础使用 3.1 Spring Security的使用方式 3.1.1 通过Maven进行使用 3.1.2 通过 Gradle进行使用 3.2 Spring Boot集成Spring Security 3.2.1 选定框架及版本 3.2.2 项目初始化 3.2.3 代码编写 3.3 项目启动测试 经验分享：启动日志与用户名密码等问题的解析 3.4 模块分析 3.4.1 结合示例项目建立模块认识 3.4.2 全面了解内部模块 第4章 认证 4.1 认证的基本架构 4.1.1 认证的基本处理流程 4.1.2 认证的内部处理机制 4.2 常用的基础认证子功能 4.2.1 用户名密码认证 经验分享：新版本Spring Security中如何自定义配置使用表单认证 4.2.2 匿名认证 经验分享：新版本Spring Security中如何自定义配置使用匿名认证 4.2.3 注销 经验分享：新版本Spring Security中如何自定义配置使用注销 4.2.4 会话管理 经验分享：新版本Spring Security如何自定义配置使用会话管理 4.2.5 Remember Me 经验分享：新版本Spring Security中如何自定义配置使用Remember Me 第5章 自定义认证实践 5.1 自定义认证解决方案 5.1.1 方案总目标及对应需求 5.1.2 方案流程图 5.1.3 方案实现思路 5.2 项目初始化 5.3 自定义认证url路径及界面 5.3.1 Spring Security配置类 5.3.2 自定义认证控制器 5.3.3 自定义认证界面 5.4 添加额外的验证码参数 5.4.1 自定义登录界面修改 5.4.2 自定义身份认证对象 5.4.3 自定义认证过滤器 5.4.4 Spring Security配置类修改 5.5 用户持久化及密码加密 5.5.1 数据库的初始化 5.5.2 实体类及对应Mapper的实现 5.5.3 密码加密的配置定义 5.6 身份认证逻辑处理 5.6.1 认证提供者及其相关service实现 5.6.2 认证成功与失败后的后续处理 5.7 自定义注销处理 5.7.1 自定义额外的注销业务操作 5.7.2 Spring Security配置类关联配置 5.8 项目启动测试 5.8.1 测试前的补充及准备工作 5.8.2 测试验证自定义认证 经验分享：自定义认证实现后添加会话管理失效如何应对 第6章 授权 6.1 授权的基本架构 6.1.1 授权的基本处理流程 经验分享：新版本Spring Security中授权基本处理流程的相关变化 6.1.2 授权的内部处理机制 6.2 常用的授权子功能 6.2.1 权限表达式 6.2.2 基于url的授权 经验分享：新版本Spring Security中如何自定义配置使用基于url的授权 6.2.3 基于方法的授权 经验分享：新版本Sping Security中如何自定义配置使用基于方法的授权 第7章 自定义授权实践 7.1 自定义授权解决方案 7.1.1 方案总目标及对应需求 7.1.2 方案流程图 7.1.3 方案实现思路 7.2 授权规则设置 7.2.1 Spring Security配置类 7.2.2 设置跳转路径授权规则 7.3 授权持久化 7.3.1 数据库的初始化 7.3.2 实体类及对应Mapper的实现 7.3.3 自定义认证基础上授权数据填充处理 7.4 自定义授权错误处理 7.4.1 自定义授权错误的业务逻辑处理 7.4.2 Spring Security配置类关联配置 7.5 项目启动测试 7.5.1 测试前的补充及准备工作 7.5.2 测试验证自定义授权 经验分享：自定义授权如何实现动态权限判定 第8章 针对常见漏洞的保护 8.1 基本处理流程 8.2 常用的针对常见漏洞保护子功能详解 8.2.1 跨站请求伪造Csrf 经验分享：新版本Spring Security中如何自定义配置使用跨站请求伪造csrf 8.2.2 http防火墙 经验分享：新版本Spring Security中如何自定义配置使用http防火墙 8.2.3 http响应支持 经验分享；新版本Spring Security中如何自定义配置使用http响应 第9章 基于Spring Security整体构建安全可靠的微服务 9.1 知识点前置讲解 9.1.1 授权协议oauth2 9.1.2 认证协议oidc 9.1.3 令牌标准jwt 9.2 整体解决方案 9.2.1 方案设计 9.2.2 实现思路 9.3 认证授权服务 9.3.1 初始化项目结构与配置 9.3.2 自定义授权服务的配置与实现 9.3.3 自定义认证的配置与实现 9.3.4 jwt的配置与实现 9.3.5 自定义认证授权页面实现 9.4 API网关 9.4.1 初始化项目结构与配置 9.4.2 配置客户端信息 9.4.3 配置业务服务路由 9.4.4 默认页面实现 9.5 业务服务 9.5.1 初始化项目结构与配置 9.5.2 配置资源服务 9.5.3 自定义授权的配置与实现 9.5.4 jwt的配置与实现 9.5.5 具体业务的实现 9.6 项目启动测试 后记