摘要:
在springboot加入springsecurity后,关于用户认证和授权这块就全权交给springsecurity,用户认证和授权难免会涉及到token相关的东西,比如说用户登录成功,为其创建一个token,当用户退出的时候,将token移除等等操作。基于springsecurity的接口,我们 阅读全文
摘要:
springsecurity的认证授权有两种方式:基于session和基于token。由于token的使用会比较多,下面讲token的这种方式。 整个大概的流程是这样的: 1.用户访问服务器进行登录,服务器返回登录页面给用户 2.用户填写用户名和密码,并提交给服务器 3.服务器收到后,由spring 阅读全文
摘要:
springsecurity的防CSRF的功能是开启的,一般也建议开启。 CSRF的原理 CSRF攻击原理比较简单,例如Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 阅读全文