爱编程DE文兄

摘要： 当用户登录后再次访问时，我们需要拿到用户的token，去查redis的用户权限，并赋予用户权限。差不多就这个过程，但很多步骤，springsecurity都封装好了，下面写一个授权过滤器，主要重写一个方法doFilterInternal，该方法的目的的话就是获取redis中用户的权限列表，并设置到一 阅读全文

摘要： 之前学习过一个过滤器UsernamePasswordAuthenticationFilter，里面有3个重要的方法，如下： 1.attemptAuthentication：接收表单传过来的用户名和密码，并封装到一个类中返回 2.successfulAuthentication：认证成功调用的方法 3 阅读全文

摘要： 在springboot加入springsecurity后，关于用户认证和授权这块就全权交给springsecurity，用户认证和授权难免会涉及到token相关的东西，比如说用户登录成功，为其创建一个token，当用户退出的时候，将token移除等等操作。基于springsecurity的接口，我们 阅读全文

摘要： springsecurity的认证授权有两种方式：基于session和基于token。由于token的使用会比较多，下面讲token的这种方式。 整个大概的流程是这样的： 1.用户访问服务器进行登录，服务器返回登录页面给用户 2.用户填写用户名和密码，并提交给服务器 3.服务器收到后，由spring 阅读全文

摘要： springsecurity的防CSRF的功能是开启的，一般也建议开启。 CSRF的原理 CSRF攻击原理比较简单，例如Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户。 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A； 阅读全文

摘要： springsecurity实现自动登录很简单，人家让我们配置一下就好了 1.首先得要有数据源 和 操作数据库的对象，只有这两个才能往表中写token；在配置类中注入数据源，在容器中加入 操作数据库的对象 @Configuration public class SecurityConfig exte 阅读全文

摘要： 自动登录是：当我们第一次登录后，下次登录网站时不需要跳转到登录页面进行用户名和密码的填写，可直接以用户的身份登录网站。 springsecurity的自动登录的原理图如下： 阅读全文

摘要： 1.想要用户注销，就在配置类的configure方法，加上一行代码即可，如下： protected void configure(HttpSecurity http) throws Exception { http.logout().logoutUrl("/logout").logoutSucces 阅读全文

摘要： 当用户服务某个资源，由于没有相应的权限，我们希望给他返回一个友好的页面。步骤如下： 1.在配置类的configure（HttpSecurity http）加上下面的一条语句即可，表示当没有权限时，跳转到/unAuth.html，当然了，在static目录或者其他静态目录下得有unAuth.html页 阅读全文

摘要： 之前是使用配置类的方式来资源URL进行权限的限制，现在可以使用注解的方式来限定。 1.@Secured：限定某个方法只有是指定的角色才能访问，如下： 只有是sale或者manager角色才能访问该方法。 记住，前提是得开启security注解才行，如下： @EnableGlobalMethodSec 阅读全文