通往神秘的道路的专栏

在开始这篇文章之前，我们似乎应该思考下为什么需要搞清楚Spring Security的内部工作原理？按照第二篇文章中的配置，一个简单的表单认证不就达成了吗？更有甚者，为什么我们不自己写一个表单认证，用过滤器即可完成，大费周章引入Spring Security，看起来也并没有方便多少。对的，在引入Spring Security之前，我们得首先想到，是什么需求让我们引入了Spring Security...

前面的部分，我们关注了Spring Security是如何完成认证工作的，但是另外一部分核心的内容：过滤器，一直没有提到，我们已经知道Spring Security使用了springSecurityFillterChian作为了安全过滤的入口，这一节主要分析一下这个过滤器链都包含了哪些关键的过滤器，并且各自的使命是什么。4 过滤器详解4.1 核心过滤器概述由于过滤器链路中的过滤较多，即...

上一篇文章《Spring Security(二)—Guides》，通过Spring Security的配置项了解了Spring Security是如何保护我们的应用的，本篇文章对上一次的配置做一个分析。[TOC]3 核心配置解读3.1 功能介绍这是Spring Security入门指南中的配置项：@Configuration@EnableWebSecuritypublic...

上一篇文章《Spring Security(一)—Architecture Overview》，我们介绍了Spring Security的基础架构，这一节我们通过Spring官方给出的一个guides例子，来了解Spring Security是如何保护我们的应用的，之后会对进行一个解读。[TOC]2 Spring Security Guides2.1 引入依赖<depend...

一直以来我都想写一写Spring Security系列的文章，但是整个Spring Security体系强大却又繁杂。陆陆续续从最开始的guides接触它，到项目中看了一些源码，到最近这个月为了写一写这个系列的文章，阅读了好几遍文档，最终打算尝试一下，写一个较为完整的系列文章。较为简单或者体量较小的技术，完全可以参考着demo直接上手，但系统的学习一门技术则不然。以我的认知，一般的文档大致有两...

上一篇文章中我们介绍了获取token的流程，这一篇重点分析一下，携带token访问受限资源时，内部的工作流程。@EnableResourceServer与@EnableAuthorizationServer还记得我们在第一节中就介绍过了OAuth2的两个核心概念，资源服务器与身份认证服务器。我们对两个注解进行配置的同时，到底触发了内部的什么相关配置呢？上一篇文章重点介绍的其实是与身份认...

本文开始从源码的层面，讲解一些Spring Security Oauth2的认证流程。本文较长，适合在空余时间段观看。且涉及了较多的源码，非关键性代码以…代替。准备工作首先开启debug信息：logging: level: org.springframework: DEBUG可以完整的看到内部的运转流程。client模式稍微简单一些，使用client模式获取to...

前言今天来聊聊一个接口对接的场景，A厂家有一套HTTP接口需要提供给B厂家使用，由于是外网环境，所以需要有一套安全机制保障，这个时候oauth2就可以作为一个方案。关于oauth2，其实是一个规范，本文重点讲解spring对他进行的实现，如果你还不清楚授权服务器，资源服务器，认证授权等基础概念，可以移步理解OAuth 2.0 - 阮一峰，这是一篇对于oauth2很好的科普文章。需要对s...

Spring Security 架构原文：Spring Security Architecture译者：徐靖峰校对：马超君专题指南本文是 Spring Security 的入门指南，并对 Spring Security 的框架设计和基础组件进行深度解析。我们仅涉及应用程序安全性的基础知识，但这已足够消除开发人员在使用 Spring Security 时遇到的一些困惑。要做到...

前言你需要知道 ROLE_XXX 在Spring Security 中的意义。动态权限修改示例 @GetMapping("/vip/test") @Secured("ROLE_VIP") // 需要ROLE_VIP权限可访问 public String vipPath() { return "仅 ROLE_VIP 可看"; ...

在本教程中，我们将演示如何使用Spring Security 创建通过哈希认证记住我的应用程序。请记住，身份验证是一项功能，它允许网站在会话之间记住用户的身份。Spring Security提供了两种记住我的实现。一种使用哈希来保存基于cookie的令牌的安全性，我们将在本教程中解决这个问题。第二种是使用数据库或其他永久存储机制来存储生成的令牌。基于哈希令牌的方法记住我当用户启用记住我的身...

本篇有一定的学习曲线，建议先花一点时间了解一下前置知识：Spring Security：http://docs.spring.io/spring-security/site/docs/4.2.2.RELEASE/reference/htmlsingle/ OAuth2（重点），参考文档：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html...

准备工作1、在QQ互联申请成为开发者，并创建应用，得到APP ID 和 APP Key。2、了解QQ登录时的网站应用接入流程。（必须看完看懂）为了方便各位测试，直接把我自己申请的贡献出来：参数 值 APP ID 101386962 APP Key 2a0f820407df400b84a854d054be8b6a 回调地址 http://www...

前言本文作为入门级的DEMO，完全按照官网实例演示；项目目录结构Maven 依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId>...

本文解决问题将自定义的Filter加入到 Spring Security 中的Filter链中的指定位置。Spring Security 默认的过滤器链官网位置：http://docs.spring.io/spring-security/site/docs/5.0.0.M1/reference/htmlsingle/#ns-custom-filters别名 类名称 ...

前置文章Spring Security 入门：基于数据库验证Github 地址https://github.com/ChinaSilence/any-spring-security本文对应security-login-db-encryptPWD摘要解决2个问题：注册时密码加密后存入数据库 登录时密码加密校验运行程序1、clone 代码git clone h...

前置文章Spring Security 入门：登录与退出本文说明本文是 spring security 与 mybatis 的整合，实现基于数据库的登录校验，使用 mariadb（ mysql 通用，不用改任何代码），希望对你有所帮助！Github地址https://github.com/ChinaSilence/any-spring-security/tree/master/...

前言Spring Security 比较复杂，愿与各位一起研究使用，有歧义的地方，欢迎指出，谢谢！Github 地址https://github.com/ChinaSilence/any-spring-security.git本文示例地址：https://github.com/ChinaSilence/any-spring-security/tree/master/security-...