随笔分类 - springsecurity
摘要:spring security是安全框架,最常使用的是认证和授权,认证是登录操作,授权是针对请求访问的限制。 在项目开发中正常情况下,认证和授权需要自定义一些功能 认证 登录逻辑(实现UserDetailsService接口) 从数据库中获取数据 @Component public class Us
阅读全文
摘要:自定义加密是实现PasswordEncoder接口并重写其两个方法 public interface PasswordEncoder { String encode(CharSequence var1); //加密 boolean matches(CharSequence var1, String
阅读全文
摘要:项目需求 根据用户权限不同显示不同菜单,admin显示菜单(用户管理、角色管理、菜单管理),guest显示菜单(用户管理、菜单管理) 显示菜单原理 向客户端返回不同的菜单数据 需求分析 数据结构:用户表、角色表、用户角色关系表、菜单表、菜单角色关系表。 项目业务逻辑:通过登录用户名获取用户对象,并根
阅读全文
摘要:CSRF CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DE
阅读全文
摘要:原理分析 1、用户登录通过UsernamePasswordAuthenticationFilter认证请求处理, 2、通过RememberMeServices对象中的onLoginSuccess方法完成登录成功后的处理, 2.1、TokenRepository对象生成token字符 2.2、Reme
阅读全文
摘要:使用注解需要开启注解功能 securedEnabled = true:开启Secured注解prePostEnabled = true:开启Prexxx和Postxxx注解 @EnableGlobalMethodSecurity(securedEnabled = true,prePostEnable
阅读全文
摘要:springsecurity 授权就是控制访问请求,通俗说就是控制url 具体做了些什么? 1、认证失败会跳转到登录页面 2、根据权限访问 3、根据角色访问 4、没有权限的页面展示 授权 //授权:针对url的设置 @Override protected void configure(HttpSec
阅读全文
摘要:认证实际就是登录和设置权限(就是立Flag,Flag通过授权才能有具体的相应的作用) 登录就是校验用户名和密码,通常情况下用户名和密码是存储在数据库中 登录名和密码存储方式: 1、通过配置文件 查找 SecurityProperties,可以确定配置属性 spring.security.user.n
阅读全文
摘要:SpringSecurity https://docs.spring.io/spring-security/site/docs/current/reference/html5/#prerequisites 概念 Spring Security is a framework that provides
阅读全文
