spring
关注
分享
扫一扫
文章平均质量分 86
愤怒菜鸟
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
springsecurity(08)oauth2协议
oath2协议 基本介绍 开放授权(Open Authorization,OAuth)是一种资源提供商用于授权第三方应用代表资源所有者获 取有限访问权限的授权机制。由于在整个授权过程中,第三方应用都无须触及用户的密码就可以取得 部分资源的使用权限,所以OAuth是安全开放的。 目前的版本是2.0 版本; OAuth协议:https://tools.ietf.org/html/rfc6749 比较常见的功能就是当登录一个网站的时候,可以使用qq 或微信等进行授权登录,并能够获取到qq 或微信的头像等信息。就是原创 2022-03-28 23:37:55 · 326 阅读 · 1 评论 -
Spring Security(7) jwt整合
jwt 基本介绍 jwt 全称是jsonWebToken, 简单的说就是一种能够携带信息的token。 在传统的web环境中,浏览器和后端通过记录在浏览器的cookie 和存储在服务端的session 来实现登录状态,而cookie session的方式在多分布式环境下可能带来session复制,跨域访问,单点登录等问题; 直接使用后端生成token的方式,服务端也需要存储生成的token信息,因为token是无意义的。而使用jwt ,能够携带一些必要得信息比如用户id 和用户名称等; 后端就不需要对生成的原创 2022-03-28 23:36:31 · 2213 阅读 · 0 评论 -
springsecurity(06)会话管理
会话管理 简单总结下springsecurity 对会话的管理配置 配置 配置 http.authorizeRequests().sessionManagement() 做配置的相关操作 .and().sessionManagement(); 会话禁用 .sessionManagement().disable(); 会话过期配置 配置过期跳转url .invalidSessionUrl("/xx") 自定义过期策略 invalidSessionStrategy(new InvalidS原创 2022-03-10 23:07:58 · 894 阅读 · 0 评论 -
Spring Security(05)授权配置授权流程分析
认证控制 springsecurity 的认证过程的处理是通过过滤器进行拦截处理的,在请求前判断是否有具体的权限来做一些控制; 基本流程是通过过滤器 拿到请求信息,交给访问决策管理器(AccessDecisionManager) 判断是否有权限, 而 访问决策管理器(AccessDecisionManager) 通过投票机制判断是否有权限,对应的实现类聚合了多个 AccessDecisionVoter (访问投票器), 对于一个请求 所有的投票器可以投出自己的一票 通过 ,拒绝 或弃权,根据投票的最终结果原创 2022-03-09 22:56:53 · 4927 阅读 · 0 评论 -
Spring Security(04)授权配置
授权 基本说明 授权指的是给用户某个操作的权限; 常见的权限的访问控制一般是 基于rpac (Role-Based Access Control)的 访问控制; Authentication 是springsecurity 中的非常重要的接口;能够获取登录用户的信息和授权的相关信息; 而授权的信息是通过 Collection<? extends GrantedAuthority> getAuthorities(); 此方法获取 GrantedAuthority 也只有一个返回Authority原创 2022-03-02 22:38:19 · 889 阅读 · 0 评论 -
Spring Security(03)登录认证源码分析
Spring Security在内部维护一个过滤器链,其中每个过滤器都有特定的责任; 比如: ChannelProcessingFilter,因为它可能需要重定向到不同的协议 SecurityContextPersistenceFilter,因此可以在web请求开头的SecurityContextHolder中设置SecurityContext,并且SecurityContext的任何更改都可以复制到HttpSession当web请求结束时(准备好与下一个web请求一起使用) 等等… 登录流程解原创 2022-03-02 22:35:17 · 420 阅读 · 0 评论 -
Spring Security(02)认证配置
前面只是简单使用了springsecurity的登录控制功能,当然实际使用中是一定需要写一些自定义配置的;本节将通过springsecurity配置一些功能: 通过数据库用户密码完成认证 使用自定义登录页面 实现记住我功能 增加验证码功能 添加配置类 配置的一个比较重要的类是 WebSecurityConfigurerAdapter 新建一个配置类去继承WebSecurityConfigurerAdapter,同时开启 @EnableWebSecurity @EnableWebSecurity publ原创 2022-02-23 22:38:31 · 896 阅读 · 0 评论 -
Spring Security(1)快速入门
基本介绍 Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。 是一个比较常用的权限框架,主要的功能是认证和授权。同时对oauth2 也有很好的支持; 认证:认证是否是本系统的用户 授权:判断已经认证了的用户是否有某个操作的权限 官网文档: https://docs.spring.io/spring-security/reference/servlet/getting-started.html 中文文档: https原创 2022-02-23 22:35:17 · 310 阅读 · 0 评论