SpringSecurity
文章平均质量分 96
Huathy-雨落江南,浮生若梦
雨落江南,浮生若梦,时光匆匆,只是过客!
展开
-
SpringSecurity学习(八)OAuth2.0、授权服务器、资源服务器、JWT令牌的使用
OAuth2协议、授权服务器搭建、资源服务器搭建、JWT令牌的使用原创 2023-03-18 14:16:19 · 3489 阅读 · 3 评论 -
SpringSecurity学习(七)授权
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型原创 2023-03-15 22:41:44 · 1931 阅读 · 0 评论 -
SpringSecurity学习(六)CORS跨域、异常处理
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。原创 2023-03-12 23:44:08 · 2694 阅读 · 4 评论 -
SpringSecurity学习(五)会话管理、CSRF漏洞保护
CSRF(Cross-Site Request Forgery跨站请求伪造)。CSRF攻击是一种挟持用户在当前以登录的浏览器上发送恶意请求的攻击方法。相对于XSS(跨站脚本攻击)利用用户对指定网站的信任,CSRF是利用网站对用户浏览器的信任。简单说CSRF是攻击者通过技术手段欺骗用户浏览器,访问一个用户曾认证过的网站,并执行恶意请求,eg:发送邮件、消息、转账、购买。由于客户说已经在该网站认证,所以该网站会认为是真正的用户在操作。原创 2023-03-12 19:36:02 · 798 阅读 · 0 评论 -
SpringSecurity学习(四)密码加密、RememberMe记住我
密码泄露,多个网站用同一密码。salt加盐。RememberMe记住我。是一种服务端的行为,而不是将用户密码保存在cookie中。传统登录方式是基于Session的,这样一旦用户关闭浏览器重开,就需要再次登录,太过麻烦。实现思路是通过cookie来记住当前用户身份。当用户登录成功后,通过算法,将用户信息、时间戳加密后通过响应头带回前端存到cookie。当重开浏览器后,会自动将cookie信息发送给服务器进行校验分析。从而确定用户身份。具有时效性,一般的为一周左右。原创 2023-03-11 16:34:08 · 1456 阅读 · 0 评论 -
SpringSecurity学习(三)自定义数据源、前后端分离案例
发起认证请求,携带用户名密码,请求被UsernamePasswordAuthenticationFilter拦截在UsernamePasswordAuthenticationFilter的attemptAuthentication方法将请求的用户名和密码,封装为Authentication对象,交给AuthenticationManager进行认证。原创 2023-03-08 22:40:05 · 530 阅读 · 1 评论 -
SpringSecurity学习(二)自定义资源认证规则、自定义登录页面、自定义登录(成功/失败)处理、用户信息获取
index 公共资源/hello 受保护资源在项目中添加如下配置就可以实现对资源权限规则的设定:// 注意:这里放行的内容必须在验证之前 // mvcMatchers匹配资源,permitAll放行该资源,无需认证授权,直接访问 req . mvcMatchers("/index") . permitAll();// anyRequest所有请求,都需要认证才可访问 req . anyRequest() . authenticated();原创 2023-03-02 00:18:21 · 721 阅读 · 0 评论 -
SpringSecurity学习(一)权限管理概念简介、整体架构、环境搭建
SpringSecurity的权限管理与整体架构【认证(AuthenticationManager、Authentication、SecurityContextHolder)、授权(AccessDecisionManager、AccessDecisionVoter、ConfigAttribute)】SpringSecurity的环境搭建原创 2023-02-26 23:14:52 · 1356 阅读 · 0 评论