qq_38586378的博客

概念 会话：session，对于无状态的HTTP 实现用户状态可维持的一种解决方案。 HTTP的无状态特点使得用户给与在服务器交互的过程中，每个请求间没有关联性，即用户的访问没有身份记录，站点无法为用户提供个性化服务。session的诞生解决这个问题（利用session保存用户身份） 服务器通过与用户约定，每个请求都会携带一个id类的信息，使得不用请求间有了关联；id也方便与用户绑定，就可把不同请求归类到同一用户 基于此方案，为了使同一个用户的每个请求都携带一个id，需要一个载体

OAuth概念 OAuth：解决了在用户不提供密码给第三方应用的情况下，让第三方应用有权获取用户数据及基本信息的难题 Open Authorization开放授权，是一种资源提供商用于授权第三方应用代表资源所有者获得有限访问权限的授权机制。由于整个授权过程中，第三方应用无需触及用户的密码即可取得部分资源的使用权限，所有OAuth是安全开放的。 例如登录CSDN的时候支持QQ、新浪微博、百度、开源中国和GitHub： 在选择QQ作为第三方登录的时候，会跳转到QQ站点（避免在CSD...

前言 设置自动登录的原因： 有的网站可能对密码要求比较繁琐（例如必须包含大小写甚至特殊字符），可能下次用户登录的时候会忘记密码，不得不找回密码从而又回到如何设计密码的环节 支持用户对信任的设备使用remember-me功能，直接登录提升用户登录体验 实现基本思路 将用户的登录信息保存在用户浏览器的cookie中，当用户下次访问的时候，自动实现校验并建立登录态 Spring Security在自动登录中支持两种令牌（检验机制）： 用散列算法加密用户必要的登录信息并生成令牌

前言 密码安全的重要性： 防止被黑客“拖库” 拖库：数据库术语，从数据库中导出数据。现特指网站遭到入侵后，黑客窃取数据库文件 如果发生拖库：大量用户信息被暴露，面临数据安全和数据隐私双重威胁，尤其如果数据库密码是明文存储 预防错误：数据库加密 如果拖库已经发生，那么密码如果有加密的话可以最大限度的防止被破解从而减少安全损失 提高密码破解难度，让黑客主动放弃高成本破解 另外通知用户登录，跳转手机号/邮箱验证，验证通过话

前言 想着既然项目中用到Spring Security框架，那为了以后面试说到这个项目的时候不害怕被问框架问题，干脆就好好学一下，基础、实战、源码分析一个一个来。 参考资料 Spring Security参考手册： https://www.springcloud.cc/spring-security-zhcn.html#true-java https://docs.spring.io/spring-security/site/docs/5.1.12.RELEASE/reference/htm...