摘要： Run --> Edit Configurations 然后 运行程序，控制台就会打印你设定的参数的结果 欢迎关注个人公众号一起交流学习： 阅读全文

摘要： File --> Settings ，输入jclasslib 安装 选中 .java文件 ，或者鼠标在.java文件中： 即可查看class文件结构，然后慢慢研究class文件 欢迎关注个人公众号一起交流学习： 阅读全文

摘要： 学习JVM，想查看编译后的.class文件，项目路径下没有发现放.class文件的目录， Project Structure查看，class文件输出到了项目根路径下的out目录，但是没有发现out目录 解决办法： 重新构建项目，Build --> Build Project out以及.class文 阅读全文

摘要： 前几篇说的都是基于session的SSO（客户端应用的session、认证服务器的session），客户端应用拿到认证服务器返回的token后，将其存在自己的session， 用户登录状态是存在服务器端的。 本篇要说的是，要实现一个基于浏览器cookie的SSO，客户端应用获取到令牌后，不是将其存到 阅读全文

摘要： 到目前为止已经实现了一个基于微服务的，前后端分离（这里我用的jquery做的，并不是真的前后端分离，因为我不会vue和angular所以没用）的架构。在网关上做了限流、认证、审计、授权等安全机制，在前端应用上也做了SSO单点登录， 现在的架构存在的问题是： 1，在网关做限流。 在网关上做限流是有问题 阅读全文

摘要： 到目前为止已经实现了一个基于session的SSO 优点： 1，安全 。所有的token的信息都是放在session里（客户端应用session、认证服务器session），在浏览器里只有一个jsessionId，在浏览器这边只要做好session固定攻击的防护，一般是不会有什么风险的。 2，可控性 阅读全文

摘要： access_token是客户端调用其他微服务调的凭证，access_token有效期不能太长（丢了风险很大），一般可以设置2小时，如果access_token失效了，就不能调用微服务了，上节说了access_token失效的处理 refresh_token来刷新令牌，refresh_token可以 阅读全文

摘要： 本篇解决一个问题，token有效期 token是一个短活的东西，session可能是3天，但是token可能就2个小时，此时就会出现一种情况，session还有效但是token失效了，此时再拿着这个token去调用其他微服务就会失败了。 这就涉及到了OAuth2协议中的Refresh token，刷 阅读全文

摘要： 这一节介绍，在认证服务器上使用spring session。 由于认证服务器肯定要是一个高可用状态，所以一定是一个集群，这就需要做session共享，最简单的实现就是使用spring session。 Spring Session官方文档 ：https://docs.spring.io/spring 阅读全文

摘要： 上一篇将OAuth2授权模式的password模式改造成了授权码模式，并初步实现了一个前后端分离架构下基于session的微服务的SSO。用户在客户端点击登录，会跳转到认证服务器的登录页面进行登录，登录成功后，认证服务器回调到客户端应用的callback方法，并携带了授权码，客户端拿着授权码去认证服 阅读全文