摘要： 安全分为 认证和授权，前边讲的都是认证，现在说授权。 前端业务系统的权限简单些，一般只区分是否登录，复杂点的还会区分 VIP用户等简单的角色，权限规则基本不变。 后台系统比较复杂，角色众多，权限随着业务不断变化。 1，用代码控制简单的权限 直接在配置类 BrowserSecurityConfig e 阅读全文

摘要： 基于JWT实现SSO 在淘宝（ https://www.taobao.com ）上点击登录，已经跳到了 https://login.taobao.com，这是又一个服务器。只要在淘宝登录了，就能直接访问天猫（https://www.tmall.com）了，这就是单点登录了。 淘宝、天猫都是一家的公司 阅读全文

摘要： token处理之二使用JWT替换默认的token JWT(Json Web Token) 特点： 1，自包含：jwt token包含有意义的信息 spring security oauth默认生成的token是uuid，是无意义的，本身并不包含任何信息。这个token所包含的信息，如果用redis存 阅读全文

摘要： token处理之一基本参数配置 处理token时间、存储策略，客户端配置等 以前的都是spring security oauth默认的token生成策略，token默认在org.springframework.security.oauth2.provider.token.DefaultTokenSe 阅读全文

摘要： 浏览器模式下验证码存储策略 浏览器模式下，生成的短信验证码或者图形验证码是存在session里的，用户接收到验证码后携带过来做校验。 APP模式下验证码存储策略 在app场景下里是没有cookie信息的，请求里也就没有JSESSIONID，所以即使生成了验证码存在session里，你也接收到了验证码 阅读全文

摘要： SpringSecurityOAuth核心源码解析 蓝色表示接口，绿色表示类 1，TokenEndpoint 整个入口点，相当于一个controller，不同的授权模式获取token的地址都是 /oauth/token ，通过grant_type 参数标识不同的授权类型，这个类就是判断授权类型 gr 阅读全文

摘要： 实现服务提供商，就是要实现认证服务器、资源服务器。 现在做的都是app的东西，所以在app项目写代码 认证服务器： 新建 ImoocAuthenticationServerConfig 类，@EnableAuthorizationServer 注解就说明该项目是一个 认证服务器： @Configur 阅读全文

摘要： 基于服务器Session的认证方式： 前边说的用户名密码登录、短信登录、第三方登录，都是普通的登录，是基于服务器Session保存用户信息的登录方式。登录信息都是存在服务器的session（服务器的一块内存）里 ，用户通过浏览器访问服务的时候，每一次服务器都会检查浏览器的cookie里有没有JESS 阅读全文

摘要： Session失效时间： springboot配置session失效时间，只需要在application.properties里配置 #session超时时间，低于60秒按60秒server.session.timeout = 60 如果想自己定义session失效的提示信息，需要配置： @Conf 阅读全文

摘要： 先来看下 Spring Security密码登录大概流程，模拟这个流程，开发短信登录流程 1，密码登录请求发送给过滤器 UsernamePasswordAuthenticationFilter 2，过滤器拿出用户名密码组装成 UsernamePasswordAuthenticationToken 对 阅读全文