本文介绍了如何使用Spring Security进行登录拦截,通过继承UsernamePasswordAuthenticationFilter实现自定义验证。同时,探讨了JWT的原理及其实现,包括JWT的安全性和与Redis结合使用的方式。另外,讨论了JWT在分布式系统中的角色,以及如何通过refToken和accessToken确保用户体验与安全性。
1.spring security 默认用usernamepasswordAuthcationfilter,对登录进行拦截,在filter里面配置登录,这样就不用写接口了,去继承usernamepasswordAuthcationfilter 父类同时这个里面 还要两个方法验证成功后,我们怎么返回,验证失败(抛出指定的验证异常,被捕获)后,怎么处理。自己去实现
2.去实现一个ApplicationProvider接口, 这个框架有一个现象,很多的接口都有默认实现,我们去实现 authcate方法,还有一个supports方法, 就是这里注意下,他会验证你指定的token类型,比如我们第一次登陆,可以用这里的验证,后续验证的,用不同的token类型。
3.顺便也学了一些jwt ,简单而言 就是 header base64+payload base64 +对前面两部分压缩加签, 一共三部分,前面两部分并不安全,大家都可以解码,所以不要放敏感信息。jwt 无法对有效期进行有效处理,+redis 缓存作为生效日期,两部分同时判断,当redis 失效了,就算jwt还有效,也算失效。 主要的方便之处就是 分布式系统里面 方便用户快速获取用户简单信息.
4.jwt 作为 第三方认证服务器的 refTOken, 这个时间比较久,授权给用户服务器,用户登录后,用户服务器通过 refToken 作为依据,创建accessToken 作为前后端交互的token,这个token设置时间短,为了安全,就算被破解了也很快失效,当失效了, 判断refToken是否还在有效期,在的话,生成新的accessToken 颁发给用户。 体验+安全都兼顾到了.
扫一扫
2057
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
