pscool的博客

用户先通过密码模式获取令牌（前端携带用户名和密码，在网关添加客户端id和客户端密码参数，认证服务通过密码模式发放令牌），此后使用该令牌访问服务。现在，需要该用户授权给第三方客户端访问这个用户的资源。按标准的情况来说，应该是不能允许用户通过密码模式获取token登录的（通过密码模式获取的token代表的是这个用户完全信任这个客户端而把密码交给这个客户端从而获取到访问令牌），但是有的系统已经这样做了，现在需要在这个的基础上添加授权码模式。

（之前有使用过这种实现，定义个公共认证模块的jar包，各个微服务引入这个jar包，jar包中引入了security，开启全局校验，各个微服务可以使用注解，各个微服务可以覆盖jar包中的关键配置类实现。但是，后来遇到微服务之间互相调用时也得把这个令牌给带上去以供被调用的微服务作权限校验的问题，这样就导致权限校验管理混乱。所以还不如直接在网关层作校验，然后校验通过后，将用户身份权限写成请求头，在网关转发的时候携带给下面的微服务，后面微服务如果有必要作权限校验的话，可以使用AOP自主实现校验逻辑）

DefaultTokenServices是掌握spring security oauth2 颁发令牌的重要实现，它有着`发放令牌`，`存储令牌`，`令牌校验`，`令牌撤销`等功能；DefaultTokenServices实现了3个接口：AuthorizationServerTokenServices、`ResourceServerTokenServices`、`ConsumerTokenServices`

可参考：https://www.cnblogs.com/hellxz/p/12044340.html。下载对应的openssl版本，只需要一直点下一步即可，安装完毕后，将它的bin目录配置到环境变量。在my-auth.jks同目录下，执行命令导出公钥，需要输入口令：123456。使用jwt(非对称加密)

@EnableResourceServer用于开启资源服务器，它使用@Import注解引入了`ResourceServerConfiguration`

EnableAuthorizationServer用于开启授权服务器，它使用@Import注解引入了如下2个配置类：授权服务器安全配置类授权服务器端点配置类。

文章目录单点登录简介SSO客户端@EnableSSO注解@EnableOAuth2Client注解OAuth2SsoDefaultConfigurationOAuth2SsoCustomConfigurationResourceServerTokenServicesConfiguration过滤器OAuth2ClientContextFilterOAuth2ClientAuthenticationProcessingFilterSSO服务端单点登录简介SSO客户端@EnableSSO注解@Enabl

文章目录学习链接auth-server引入依赖application.ymlAuthServerConfigSecurityConfigUserControllerlogin.htmlclient1引入依赖application.yml配置文件SecurityConfigClient1ApplicationHaloControllerindex.htmlclient2引入依赖application.yml配置文件SecurityConfigClient2ApplicationHaloControllerin

当前==我们系统是有自己的一套用户体系==的，在前面通过security搭建了1个非常简单的登录示例。可是，用户要登录我们的系统，需要先注册账号，然后填写一大堆表单，包括：用户名、密码、验证码、性别、年龄、上传头像、绑定邮箱、绑定手机号等等一大堆，这就增加了用户使用我们系统的成本。因此可以使用比较可靠的第三方系统的用户身份登录我们的系统，但==用户仍然是第三方系统的用户==，==只是用户可以授权他在第三方系统的权限给我们系统，让我们系统可以访问这个用户在第三方系统中的用户信息、用户资源等==。这样用

（也可以采用若依的方法，自定义权限表达式，其实就是利用了el表达式，但是通过自定义权限表达式的过程，可以更加清楚security处理方法权限时的整个处理过程）

【代码】Security中使用Redis管理会话（模拟cookie实现）

springboot web项目都能正常跳转(引入security启动依赖前)引入spring-boot-starter-security,全都访问不了了,包括home.html静态资源也访问不了,全部都重定向到http://localhost:8080/login security自己默认的登录页;输入登录名和密码: user（默认） 密码（会输出在控制台）,登录成功UserDetailsService 接口唯一方法: 根据用户名, 返回UserDetails用户信息对象..

【代码】Security默认过滤器的排序。

【代码】加载类路径下的提示语文件。

SecurityConfigurer用来配置安全对象构建器（SecurityBuilder），典型的有：FormLoginConfigurer、CsrfConfigurer等。SecurityBuilder用来构建安全对象，安全对象包括：HttpSecurity、FilterChainProxy、AuthenticationManager。

是分割符，无意义；2b 是bcrypt加密版本号；10是cost的值；而后的前22位是salt值；再然后的字符串就是密码的密文了；

GitHub登录

CsrfFilter

案例引入依赖<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.or

java依赖<dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.15</version></dependency><dependency> <groupId>junit</groupId>

引入依赖<!--整合spring-security--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.1.4.RELEASE</version> </dependency&g

Spring Security配置流程剖析

ant匹配规则原文：https://www.cnblogs.com/leftthen/p/5212221.htmlAntPathMatcher如名使用的ant 的匹配规则,我们先看看吧.　　字符wildcard　　　　描述　　 ?　　　　　　　　　匹配一个字符 　　*　　　　　　　　　匹配0个及以上字符 　　**　　　　　　　　 匹配0个及以上目录directories看几个官方的例子吧:　　com/t?st.jsp - 　　　　　　　　　　 匹配: com/test.jsp

spring security基本环境搭建

jjwt<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version></dependency>Base64加密、解密@Testpublic void testGenJwt() { JwtBuilder jwtBuilder =