随笔分类 - 权限控制
摘要:SpringSecurity自定义响应异常信息 此处的异常信息设置的话,其中还是有坑的,比如你想自定义token过期信息,无效token这些,如果按照SpringSecurity的设置是不会生效的,需要加到资源的配置中。 如果只是SpringSecurity的话,只需要实现AccessDeniedH
阅读全文
摘要:微服务项目中怎么让登录用户信息共享 无论是token还是jwt,核心就是获取登录信息,然后放到SecurityContextHolder.getContext().setAuthentication(authResult)中。 token token的话,只要在资源服务器中,进行校验token,底层
阅读全文
摘要:资源服务器校验token 基于token 1.远程调用认证服务验证Token 认证服务需要在AuthorizationServerConfigurerAdapter继承类中配置中增加以下代码,允许资源服务调用校验token的接口。 //配置端点的权限 @Override public void co
阅读全文
摘要:资源服务器核心源码分析 OAuth2AuthenticationProcessingFilter 资源服务器的核心是OAuth2AuthenticationProcessingFilter过滤器。它被插到配置为资源端口的过滤器链中,主要功能是获取请求中携带的access_token中,通过acces
阅读全文
摘要:Spring Security中的密码安全 PasswordEncoder 接口 在 Spring Security 中,PasswordEncoder 接口代表的是一种密码编码器,其核心作用在于指定密码的具体加密方式,以及如何将一段给定的加密字符串与明文之间完成匹配校验。PasswordEncod
阅读全文
摘要:Spring Security 中的 CSRF和CORS 使用 Spring Security 提供 CSRF 保护 什么是 CSRF? 从安全的角度来讲,你可以将 CSRF 理解为一种攻击手段,即攻击者盗用了你的身份,然后以你的名义向第三方网站发送恶意请求。我们可以使用如下所示的流程图来描述 CS
阅读全文
摘要:Spring EL 权限表达式 Spring Security 允许我们使用 Spring EL 表达式,来进行用户权限的控制,如果对应的表达式结果返回true,则表示拥有对应的权限,反之则无。 Spring Security 可用表达式对象的基类是 SecurityExpressionRoot 注
阅读全文
摘要:SpringSecurity的@EnableWebSecurity注解 @EnableWebSecurity @EnableWebSecurity是开启SpringSecurity的默认行为,它的上面有一个Import注解导入了WebSecurityConfiguration类,也就是说我们加上了@
阅读全文
摘要:写在个人的语雀平台上了,https://www.yuque.com/dalianpai/pgt8o6/nxfgkk
阅读全文
摘要:写在个人的语雀平台上了,感觉看上去更舒服点。https://www.yuque.com/dalianpai/pgt8o6/xo07u1
阅读全文
摘要:SpringSecurity拦截器链 Spring版本 <!--Spring Security过滤器链,注意过滤器名称必须叫springSecurityFilterChain--> <filter> <filter-name>springSecurityFilterChain</filter-nam
阅读全文
摘要:三种获取登陆信息方式 @RequestMapping("/user/info") @ResponseBody public Object userInfo(Authentication authentication) { return authentication.getPrincipal(); }
阅读全文
摘要:图形验证码认证 1.添加过滤器认证 1.1 生成一张图形验证码 Kaptcha 是谷歌提供的一个生成图形验证码的 jar 包, 只要简单配置属性就可以生成。 参考 :https://github.com/penggle/kaptcha 添加Kaptcha依赖 <!--短信验证码--> <depend
阅读全文
摘要:现在的微服务基本就是SpringSecurity+Oauth2做的授权和认证,假如多个服务直接要通过Fegin来调用,会报错401 a、有做权限处理的服务接口直接调用会造成调用时出现http 401未授权的错误,继而导致最终服务的http 500内部服务器错误 b、解决方式:最方便的就是往请求头里加
阅读全文
摘要:父模块: <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.3.RELEASE</version> <relati
阅读全文
摘要:1.什么是OAuth2 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。
阅读全文
摘要:现象: { "timestamp": "2020-03-05T15:37:14.715+0000", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/oauth/check_token" } 解
阅读全文
摘要:分布式认证概念说明分布式认证,即我们常说的单点登录,简称SSO,指的是在多应用系统的项目中,用户只需要登录一次,就可以访问所有互相信任的应用系统。分布式认证流程图首先,我们要明确,在分布式项目中,每台服务器都有各自独立的session,而这些session之间是无法直接共享资源的,所以,sessio
阅读全文
摘要:pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <depend
阅读全文
摘要:CSRF(Cross-site request forgery)跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则
阅读全文
