作为保障微服务安全的重要框架，Spring Security功能丰富且支持多种认证方式，但是它也有着学习曲线陡峭、配置复杂等不足。本书立足于作者多年实践，意在通过串联使用安全框架Spring Security核心功能来构建安全可靠的微服务。 在图书的讲解脉络方面，本书着重于安全框架Spring Security的原理解析与对应实践，同时基于经验分享模块将各核心功能进行示例展示，以期让读者循序渐进地了解与掌握Spring Security的关键技术，并借助其快速有效地构建安全可靠的微服务。 本书主要面向软件开发工程师，旨在帮助其系统全面地了解与掌握安全框架Spring Security，并将构建安全微服务的实现思路应用于日常开发工作中。

第1章 无所不在的软件安全
1.1 软件应用涉及的安全范围
1.1.1 基础设施之硬件层面
1.1.2 公共服务之软件层面
1.2 软件层面的安全风险与经验对策
1.2.1 身份认证
经验分享：如何应对弱密码
经验分享：如何应对session或token异常
1.2.2 访问控制
经验分享：如何应对非法访问
1.2.3 应用数据
经验分享：如何应对数据的明文传输
经验分享：如何应对数据的明文存储
微服务的软件安全解决方案
1.3.1 微服务架构与单体架构下软件安全的不同
1.3.2 微服务架构下身份认证
经验分享：不同的身份认证解决方案应该如何选择
1.3.3 微服务架构下的访问控制
经验分享：不同的访问控制解决方案应该如何选择
1.3.4 如何处理微服务架构下的软件安全
1.4 主流的安全框架
1.4.1 简单易用的轻量级安全框架——Apache Shiro
1.4.2 功能强大的重量级安全框架——Spring Security
第2章 安全框架Spring Security
2.1 Spring Security的前世今生
2.2 Spring Security整体工作流程与知识回顾
2.2.1 Spring Security整体工作流程
2.2.2 了解原理前的知识回顾：Servlet 与Filter过滤器
2.3 Spring Security架构实现原理
2.3.1 过滤器代理
源码解析：DelegatingFilterProxy与GenericFilterBean
源码解析：FilterChainProxy
2.3.2 过滤器链
源码解析： SecurityFilterChain、RequestMatcher与FilterOrderRegistration
2.3.3 异常处理部分
源码解析：ExceptionTranslationFilter
2.4 Spring Security核心功能
2.4.1 判断用户是谁——认证
2.4.2 确定用户权限——授权
2.4.3 全方位防护——针对常见漏洞的保护
第 3章 Spring Security基础使用
3.1 Spring Security的使用方式
3.1.1 通过Maven进行使用
3.1.2 通过 Gradle进行使用
3.2 Spring Boot集成Spring Security
3.2.1 选定框架及版本
3.2.2 项目初始化
3.2.3 代码编写
3.3 项目启动测试
经验分享：启动日志与用户名密码等问题的解析
3.4 模块分析
3.4.1 结合示例项目建立模块认识
3.4.2 全面了解内部模块
第4章 认证
4.1 认证的基本架构
4.1.1 认证的基本处理流程
4.1.2 认证的内部处理机制
4.2 常用的基础认证子功能
4.2.1 用户名密码认证
经验分享：新版本Spring Security中如何自定义配置使用表单认证
4.2.2 匿名认证
经验分享：新版本Spring Security中如何自定义配置使用匿名认证
4.2.3 注销
经验分享：新版本Spring Security中如何自定义配置使用注销
4.2.4 会话管理
经验分享：新版本Spring Security如何自定义配置使用会话管理
4.2.5 Remember Me
经验分享：新版本Spring Security中如何自定义配置使用Remember Me
第5章 自定义认证实践
5.1 自定义认证解决方案
5.1.1 方案总目标及对应需求
5.1.2 方案流程图
5.1.3 方案实现思路
5.2 项目初始化
5.3 自定义认证url路径及界面
5.3.1 Spring Security配置类
5.3.2 自定义认证控制器
5.3.3 自定义认证界面
5.4 添加额外的验证码参数
5.4.1 自定义登录界面修改
5.4.2 自定义身份认证对象
5.4.3 自定义认证过滤器
5.4.4 Spring Security配置类修改
5.5 用户持久化及密码加密
5.5.1 数据库的初始化
5.5.2 实体类及对应Mapper的实现
5.5.3 密码加密的配置定义
5.6 身份认证逻辑处理
5.6.1 认证提供者及其相关service实现
5.6.2 认证成功与失败后的后续处理
5.7 自定义注销处理
5.7.1 自定义额外的注销业务操作
5.7.2 Spring Security配置类关联配置
5.8 项目启动测试
5.8.1 测试前的补充及准备工作
5.8.2 测试验证自定义认证
经验分享：自定义认证实现后添加会话管理失效如何应对
第6章 授权
6.1 授权的基本架构
6.1.1 授权的基本处理流程
经验分享：新版本Spring Security中授权基本处理流程的相关变化
6.1.2 授权的内部处理机制
6.2 常用的授权子功能
6.2.1 权限表达式
6.2.2 基于url的授权
经验分享：新版本Spring Security中如何自定义配置使用基于url的授权
6.2.3 基于方法的授权
经验分享：新版本Sping Security中如何自定义配置使用基于方法的授权
第7章 自定义授权实践
7.1 自定义授权解决方案
7.1.1 方案总目标及对应需求
7.1.2 方案流程图
7.1.3 方案实现思路
7.2 授权规则设置
7.2.1 Spring Security配置类
7.2.2 设置跳转路径授权规则
7.3 授权持久化