第3章认证与授权,在第2章中,我们沿用了Spring Security默认的安全机制:仅有一个用户,仅有一种角色。在实际开发中,这自然是无法满足需求的。本章将更加深入地对Spring Security迚行配置,且初步使用授权机制。
第2部分剖析Web项目可能遇到的安全问题,并讲解如何使用SpringSecurity进行有效防护;
第4章实现图形验证码,在验证用户名和密码前,引入辅助验证可有效防范暴力试错,图形验证码就是简单且行有效的一种辅助验证方式。下面将使用过滤器和自定义认证两种方式实现图形验证码功能。
第5章自动登录和注销登录,关于网站的安全设计,通常是有一些矛盾点的。我们在作为某些系统开发者的同时,也在充当着另外一些系统的用户,一些感同身受的东西可以带来很多思考。
第6章会话管理,只需在两个浏览器中用同一个账号登录就会发现,到目前为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。
第7章密码加密,密码安全是互联网安全的一个缩影,我们在享受互联网服务的同时,也应当对它投入更多的关注。
第8章跨域与CORS,跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。
第9章跨域请求伪造的防护,CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录态的cookie迚行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨大的安全隐患。
第10章单点登录与CAS,单点登录(Single Sign On,SSO)是指在多个应用系统中,只需登录一次,即可同时以登录态共享企业所有相关又彼此独立的系统的功能。对于旗下拥有众多系统的企业来说,单点登录不仅降低了用户的登录成本,统一了不同系统间的账号体系,还减少了各个系统在用户设计上付出的精力。
第11章HTTP认证,除系统内维护的用户名和密码认证技术外,SpringSecurity还支持HTTP层面的认证技术,包括HTTP基本认证和HTTP摘要认证两种。
第12章@EnableWebSecurity与过滤器链机制,为什么加上@EnableWebSecurity注解就可以让Spring Security起作用?Spring Security又是通过什么方式来拦截请求并执行认证的?下面就带着这两个问题,深入源码一探究竟。
第3部分详细介绍OAuth,并使用Spring Social整合Spring Security,实现QQ快捷登录;
第13章用Spring Social实现OAuth对接,OAuth 解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据以及基本信息的难题。
第4部分重点介绍Spring Security OAuth框架,剖析Spring Security OAuth的部分核心源码。
第14章用Spring Security OAuth实现OAuth对接,Spring Security OAuth是一个专注于OAuth认证的框架,它完整覆盖了客户端、资源服务和认证服务三个模块。这三个模块分别在Spring Security 5.0、5.1和5.3三个版本中被集成,原有的独立项目则进入维护状态。
这份【SpringSecurity实战】共有319页,需要完整版的朋友,转发+评论,关注我私信回复“666”即可免费获取!
本文面向的读者
=======
本文包含Spring Security Java配置、Spring Security安全防护和源码导读;
详细讲解OAuth2实战,并简单剖析部分OAuth2核心源码;
本文主要面向有一定Java基础的读者,以及希望在实际项目中应用Spring Security的开发人员。
希望本文能够帮助到大家的学习,也希望大家能够把技术内容全部掌握,运用到实际项目开发工作中去!!!
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)
写在最后
很多人感叹“学习无用”,实际上之所以产生无用论,是因为自己想要的与自己所学的匹配不上,这也就意味着自己学得远远不够。无论是学习还是工作,都应该有主动性,所以如果拥有大厂梦,那么就要自己努力去实现它。
最后祝愿各位身体健康,顺利拿到心仪的offer!
由于文章的篇幅有限,所以这次的蚂蚁金服和京东面试题答案整理在了PDF文档里
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
[外链图片转存中…(img-62BhwV7M-1713432380340)]
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!