SpringBoot2.x实战-SpringSecurity
Spring Boot2.x实战 - Spring Security
汪云飞记录本
Spring
展开
-
Spring Security学习路径(含认证、授权、OAuth2.0与Reactive Spring Security)
基础Spring Boot 2.x实战77 - Spring Security 1 - Spring Boot下的Spring Security(自动配置)与Web安全配置Spring Boot 2.x实战78 - Spring Security 2 - Spring Security的认证(Authentication)Spring Boot 2.x实战79 - Spring Security 3 - Spring Security的授权(Authorization)之Web路径安全Spring原创 2020-08-10 13:42:52 · 2779 阅读 · 0 评论 -
Spring Boot 2.x实战77 - Spring Security 1 - Spring Boot下的Spring Security(自动配置)与Web安全配置
学习Spring Security首先要清楚认证和授权这两个重要的概念。认证(Authentication):Authentication确定谁在访问资源;当你访问绝大部分系统的时候,你需要提供用户名和密码,让系统确定你提供的用户名密码和他们存储的是否一致;若认证通过则可访问受保护的资源,不通过则不可以访问受保护的资源。授权(Authoraztion):Authoraztion确定当前访问者是否有权限访问指定的受保护资源;指定的受保护资源需要指定的权限才能访问,若当前访问者拥有这个权限,他才可以原创 2020-06-17 09:09:47 · 743 阅读 · 0 评论 -
Spring Boot 2.x实战78 - Spring Security 2 - Spring Security的认证(Authentication)
1.3 AuthenticationSpring Security为我们提供了一个专门的org.springframework.security.core.Authentication接口来代表认证;它最常用的实现类有UsernamePasswordAuthenticationToken。一旦请求被认证后,Authentication对象就会自动存储在由SecurityContextHolder管理的SecurityContext中。认证的原理通过下面类的处理顺序来进行的:FilterChain原创 2020-06-18 09:06:00 · 1484 阅读 · 0 评论 -
Spring Boot 2.x实战79 - Spring Security 3 - Spring Security的授权(Authorization)之Web路径安全
1.4 Authorization一旦认证成功后,我们下一步要做的就是授权(访问控制)。授权或访问控制意味着用户能或不能访问受保护的资源。1.4.1 Web路径安全我们首先学习对Web路径的安全控制,接上面认证的过程,我们从FilterSecurityInterceptor开始:FilterSecurityInterceptor:它是AbstractSecurityInterceptor的子类,当认证成功后,再使用AccessDecisionManager对Web路径资源(web URI)进行授原创 2020-06-19 11:46:37 · 742 阅读 · 0 评论 -
Spring Boot 2.x实战80 - Spring Security 4 - Spring Security的授权(Authorization)之方法安全
1.4.2 方法安全Spring Security在方法级别进行权限控制,这样可以让权限控制更灵活。使用注解@EnableGlobalMethodSecurity开启方法安全注解的支持(组合了@Configuration注解):@EnableGlobalMethodSecurity(prePostEnabled = true)public class WebSecurityConfig extends WebSecurityConfigurerAdapter { //...}使用了prePo原创 2020-06-22 07:59:35 · 908 阅读 · 0 评论 -
Spring Boot 2.x实战81 - Spring Security 5 - Spring Security与Spring Data的集成
1.5 Spring Data集成当依赖增加:implementation 'org.springframework.security:spring-security-data'Spring Boot会允许在使用Spring Data进行查询时引用Spring Security的安全表达式。public interface SysUserRepository extends JpaRepository<SysUser, Long> { @Query("select u from原创 2020-06-23 09:21:57 · 608 阅读 · 0 评论 -
Spring Boot 2.x实战82 - Spring Security 6 - 一个完整的Spring Security实战演示(基于用户、角色、权限)
2 Spring Security实战在这一节我们讲演示一个基于用户、角色、权限的更为实用的例子;一个用户有一个或多个角色,每个角色有一个或多个的权限。新建应用,信息如下:Group:top.wiselyArtifact:learning-spring-security-in-battleDependencies:Spring Security、Spring Web Starter、Spring Data JPA、MySQL Driver、Lombokbuild.gradle文件中的依赖如下:原创 2020-06-24 08:39:15 · 1028 阅读 · 0 评论 -
Spring Boot 2.x实战83 - Spring Security 7 -OAuth 2.0之Authorization Server(基于JWT)
3 OAuth 2.0OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:交互参与方:Client:需要访问Resource Sever受保护资源的应用;Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type);Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token;Resource Sever原创 2020-06-28 08:38:31 · 4643 阅读 · 3 评论 -
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:交互参与方:Client:需要访问Resource Sever受保护资源的应用;Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type);Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token;Resource Sever:包含受保护资源的应用,原创 2020-06-29 11:59:39 · 11436 阅读 · 1 评论 -
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:交互参与方:Client:需要访问Resource Sever受保护资源的应用;Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type);Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token;Resource Sever:包含受保护资源的应用,原创 2020-06-30 09:29:46 · 2315 阅读 · 0 评论 -
Spring Boot 2.x实战91 - 响应式编程6 - 响应式安全控制(Reactive Spring Security)
5. Reactive Spring Security5.1 Reactive Spring Security原理Spring MVC的Security是通过Servlet的Filter实现的,而WebFlux的响应式Security是基于WebFilter实现的,由一些列的WebFilter形成的过滤器链。认证Spring WebFlux下的响应式安全和Spring MVC下的安全认证机制也是有概念对应的:Spring WebFlux SecuritySpring Web MVC原创 2020-07-08 08:35:16 · 3317 阅读 · 2 评论