作为保障微服务安全的重要框架，SpringSecurity功能丰富且支持多种认证方式，但是它也有着学习曲线陡峭、配置复杂等不足。本书立足于作者多年实践，意在通过串联使用安全框架SpringSecurity核心功能来构建安全可靠的微服务。 在图书的讲解脉络方面，本书着重于安全框架SpringSecurity的原理解析与对应实践，同时基于经验分享模块将各核心功能进行示例展示，以期让读者循序渐进地了解与掌握SpringSecurity的关键技术，并借助其快速有效地构建安全可靠的微服务。

伴随着互联网的迅猛发展，各种软件应用的使用频率越来越高，这使得软件安全无论在软件开发还是应用运行过程中都体现出越来越重要的地位，尤其是在软件开发过程中，完备的软件安全设计方案已成为软件开发项目实践中的重要组成部分。


对于软件安全的表现形式，相信读者或多或少地都遇到或接触过一些，如十分常见的弱密码、数据的明文传输等；而对于软件安全问题如何防范处理，可能就会存在一系列的疑问，比如说如何针对常见的软件安全风险进行相应地处理，在使用目前主流的微服务架构时如何防范软件中的安全风险，如何使用安全框架来快速完成软件安全的处理等。


针对以上疑问，本书从软件开发的角度切入来讲解软件安全的防范处理，主要基于日常工作过程中对于主流微服务架构日益增加的软件安全需求，同时结合主流的安全框架来快速有效地构建安全可靠的微服务。


具体到本书的讲解脉络，本书着重于目前主流安全框架Spring Security的原理解析与对应实践，在梳理安全风险与经验对策的基础上，力求将Spring Security的核心功能及其常用子功能解析透彻，同时基于经验分享将各子功能进行示例展示，以便于读者能够了解并掌握Spring Security，之后借助于安全框架Spring Security来快速有效地构建安全可靠的微服务。


笔者在写作本书时，借鉴了自己近几年从事企业技术讲师和面试官工作中的经验，力争把复杂的Spring
Security安全框架以功能为依据进行切分讲解，同时又注重不同功能之间的逻辑关联；集点为线，聚线成面，步步为营地帮助读者透彻理解关键技术并平稳过渡到实践层面。





本书读者对象


本书中细致的知识讲解、丰富的示例分析以及翔实的防范经验，可让以下三类读者在阅读中受益。


（1）在校学生与初级软件开发工程师


安全框架Spring Security本身与应用实践中包含的知识点较多，通常刚开始接触时，难以理解并无从下手，希望本书能够帮助在校学生与初级软件开发工程师细致了解与掌握该安全框架的相关知识点，并能够初步完成构建安全可靠的微服务。


（2）中高级软件开发工程师与软件架构师


微服务架构日益增加的软件安全需求与安全框架Spring
Security的强大功能，使得在日常实际工作过程中使用安全框架Spring
Security来处理微服务安全的项目越来越多，希望本书能够帮助中高级软件开发工程师与软件架构师全面了解安全框架Spring
Security的底层原理与微服务安全所涉及的相关内容，通过示例了解思路或获得启发，继而在软件设计与开发过程中更好地使用该安全框架来处理微服务安全。


（3）对安全框架Spring Security与微服务安全感兴趣的管理者


随着软件安全重要性的凸显，同时结合软件应用项目敏捷开发的需求，利用安全框架来快速完成软件应用项目的开发十分常见且可靠，希望本书能够帮助对安全框架Spring
Security与微服务安全感兴趣的管理者了解软件开发层面的主流技术，并对项目安全问题做到心中有数。


示例代码下载


为了便于读者对本书代码示例的参考，笔者将书中相应的示例代码统一整理打包相赠，读者可通过以下链接地址获取使用。


链接地址：


http://www.m.crphdm.com/2023/0526/14604.shtml


交流反馈


由于笔者水平有限，书中内容难免存在疏漏，抑或是错误、不准确的地方，在此恳请各位读者能够批评指正，多提意见，以促进提高，相关反馈可以发送邮件到笔者的工作邮箱cloudnativesmile@163.com。另外，若在阅读本书的过程中存在任何疑问，也可以通过以上方式联系，笔者会在看到后第一时间进行回复。


感谢


感谢中国铁道出版社有限公司全体工作人员对本书的支持与付出，尤其感谢责任编辑老师贯穿始终地投入，对本书章节安排及内容的指导与建议。

第1章无所不在的软件安全 1.1软件应用涉及的安全范围...1 1.1.1基础设施之硬件层面...1 1.1.2公共服务之软件层面...2 1.2软件层面的安全风险与经验对策...3 1.2.1身份认证...4 经验分享：如何应对弱密码...4 经验分享：如何应对session或token异常...5 1.2.2访问控制...6 经验分享：如何应对非法访问...6 1.2.3应用数据...7 经验分享：如何应对数据的明文传输...7 经验分享：如何应对数据的明文存储...8 1.3微服务的软件安全解决方案...9 1.3.1微服务架构与单体架构下软件安全的不同...9 1.3.2微服务架构下身份认证...11 经验分享：不同的身份认证解决方案应该如何选择...13 1.3.3微服务架构下的访问控制...14 经验分享：不同的访问控制解

邹炎，就职于武汉光谷科技，八年以上互联网Java开发与架构工作，具有较为丰富的系统架构经验，参与开发/架构多个大型项目，对分布式与高并发、云原生、区块链领域有着深入的研究和理解，实际操作过多个互联网系统的微服务改造等。目前从事系统架构和企业架构设计评审工作并担任所在企业的技术讲师、校招、社招面试官；对安全性、高可用、高性能、云原生系统设计有着丰富的实战经验。

基于日常工作过程中对于主流微服务架构日益增加的软件安全需求，着重于目前主流安全框架Spring Security的原理解析与对应实践。