小奇学编程的博客

初探 Spring Security 四种权限控制方案及权限系统基本模型Spring Security 主要的功能是 认证和 授权，认证系列篇基本完结，接下来将进入 Spring Security 的授权系列篇。本文主要介绍 常规权限系统的基本设计模型以及 Spring Security 的权限控制方案，话不多说，Let’s Go ！！！常规权限系统设计模型系统应用不做权限管控，就犹如在大街上裸奔一般。至今为止最普及的权限模型是 RBAC模型,基于角色的访问控制（Role Based Access

扩展篇：再探Spring Security过滤器链在 概述（一）：SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的，当时简单的介绍了几个比较重要的过滤器；并且在后面的几篇认证文章中都有比较详细的讲解。但前几篇的系列文章更多的是关注 认证本身，对一些细枝末节没有额外的展开；而本篇文章的目的是再探 Spring Security 的过滤器链，完整的剖析全链路。经过 认证（一）：基于表单登录的认证模式 的介绍，我们对认证的流程有了一个比较全面的

通过前几篇的文章， Spring Security的认证系列基本介绍完毕，前几篇的系列文章更多的是关注 认证本身，对一些细枝末节没有额外的展开，因此接下来的两篇文章会补充讲解一些额外的知识。本篇文章主要扩展讲解在前后端分离的架构下，Spring Security该如何处理 JSON 类型的数据交互。随着技术的发展，分工越来越明细；“让专业的人干专业的事” 是发展的主旋律。回到我们的登录认证上，即无论登录成功还是失败，服务端都返回一段 JSON 给前端，该跳转还是该展示就由前端自己决定；前端的事就让前端.

认证（三）下篇：验证码登录流程讲解本篇为自定义验证码登录的下篇，主要会对自定义登录的流程进行讲解；我们曾在认证（二）：表单登录的源码解析中对 Spring Security的认证流程有过比较详细的学习。“模仿不是创作，但创作不能不有模仿”————周谷城。我们可以从表单登录认证流程中寻找灵感，定制化开发出验证码登录认证。流程分析首先先回顾一下表单登录的认证流程：大致上有这么几个比较核心的类/接口：UsernamePasswordAuthenticationFilter过滤器，用以捕获表单登

概述总所周知，验证码方式的登录模式十分的普遍，不过 Spring Security并没有提供比较好的原生解决方案，但是我们可以 do it by ourself！，本文的篇幅相对比较长，因此分上下篇分别来介绍。上篇主要介绍：验证码的生成，下篇对自定义验证码登录的流程进行讲解。我们比较常见的验证码主要有两种：图形验证码以及短信验证码，相对来说不是特别的复杂。可能会有人有疑惑：为什么简单的验证码生成需要花费一整篇幅来介绍呢？原因当然是：身为菜鸟的我也有一个架构师的梦！验证码的生成会结合模板方法模式一起讲解.

认证（二）：表单登录的源码解析原理讲解接上回分解，上回我们聊到了《基于表单登录的认证模式》【todo： 这里做一个文章的超链接】，正所谓：“知其然，然后知其所以然”；就让我们来一探究竟，瞅瞅 Spring Security到底是怎么实现表单登录的。首先我们先来回顾一下上篇文章我们制作的 Spring Security的表单认证的流程图：从流程图中我们可以简单的了解到，整个认证流程大致上分为3个模块：登录信息的封装认证收尾处理（成功&失败处理）核心模块为 认证模块，

认证（一）：基于表单登录的认证模式原理探讨当我们在项目中引入 Spring Security的相关依赖后，默认的就是表单登录形式；俗话说：“听人劝，吃饱饭”，既然 Spring Security已经给我们安排的明明白白了，我们就从表单登录开始吧。在开始之前，我们可以站在 Spring Security的角度上思考：如果我自己来实现表单登录的功能，那么我需要做哪些工作呢？就我个人而言，我可能会考虑以下几点：配置用户信息，存储如账号、密码等；密码不能以明文传输，需要加密功能执行校验认证

Spring Security的前世今生前世今生Spring Security的前身并非称呼为Spring Security，而是叫Acegi Security；但这并不意味着它与Spring毫无关系，它仍然是为Spring提供安全支持的。Acegi Security搭上了Spring的便车，摇身一变成为Spring Security，但即便如此其还是继承了Acegi Security的臃肿繁琐的配置，学习成本相对还是十分的高。直到有一天，Spring Boot横空出世，提出约定优于配置等理念，极大