Oauth2四种模式
摘要:Oauth2用于授权第三方应用,获取数据 1.授权码模式(Authorization Code) 先获取授权码,在通过授权码获取token 2.简化模式(Implicit) 和授权模式相比取消了授权过程,直接获取token 3.密码模式(Resource Owner Password Credent
阅读全文
posted @
2024-01-28 06:57
溪水静幽
阅读(21)
推荐(0) 编辑
UsernamePasswordAuthenticationFilter
摘要:UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。 UsernamePasswordAuthenticationFilter继承扩展Abstrac
阅读全文
posted @
2022-08-05 07:16
溪水静幽
阅读(176)
推荐(0) 编辑
AccessDecisionManager
摘要:ConfigAttribute负责表述规则,AccessDecisionVoter负责为规则表决,但最终的访问授权是否通过是由AccessDecisionManager进行决策的。 AccessDecisionManager为当前的访问规则进行决策,是否给予访问的权限。无论是decide方法还是su
阅读全文
posted @
2022-07-31 10:39
溪水静幽
阅读(570)
推荐(0) 编辑
AccessDecisionVoter
摘要:AccessDecisionVoter主要的职责就是对它所对应的访问规则作出判断,当前的访问规则是否可以得到授权。 supports方法用于判断对于当前ConfigAttribute访问规则是否支持;如果支持的情况下,vote方法对其进行判断投票返回对应的授权结果。 最终的授权结果一共有三种,分别是
阅读全文
posted @
2022-07-31 09:48
溪水静幽
阅读(407)
推荐(0) 编辑
ConfigAttribute
摘要:ConfigAttribute的常用组件 ConfigAttribute作为访问控制模板用于“描述”规则的组件,最常见的方式主要是两种一种是基于注解的一种是基于JavaConfig在Web配置中进行配置的。 其中Spring Security对应方法级的注解主要又可以分为两类: 第一类 @Secur
阅读全文
posted @
2022-07-31 09:06
溪水静幽
阅读(203)
推荐(0) 编辑
AuthenticationManager
摘要:Spring Security核心组件用 AuthenticationMananger与ProviderMananger AuthenticationMananger作为整个身份验证核心最外层的封装负责与外部使用者进行交互。AuthenticationMananger接口有且仅有一个对外的服务便是“
阅读全文
posted @
2022-07-30 21:00
溪水静幽
阅读(3543)
推荐(0) 编辑
AbstractAuthenticationProcessingFilter
摘要:AbstractAuthenticationProcessingFilter职责是处理所有HTTP Request和Response对象,将其封装成AuthenticationMananger可以处理的Authentication。并且在身份验证成功或失败之后将对应的行为转换为HTTP的Respon
阅读全文
posted @
2022-07-30 11:42
溪水静幽
阅读(684)
推荐(0) 编辑
Security概念
摘要:UserDetailsService 和 UserDetails 在Spring Security中,UserDetails包含系统的用户、账户的概念。包含用户名、密码和其对应的授予权限 public interface UserDetails extends Serializable { Coll
阅读全文
posted @
2022-07-30 08:01
溪水静幽
阅读(95)
推荐(0) 编辑
Token和JWT的区别
摘要:服务端验证客户端发送的token信息要进行数据的查询操作Jwt验证客户端发来的token就不用,在服务端使用密钥校验就可以,不用数据库的查询。 Token需要查库验证token 是否有效,而JWT不用查库或者少查库,直接在服务端进行校验,并且不用查库。因为用户的信息及加密信息在第二部分payload
阅读全文
posted @
2022-06-13 11:39
溪水静幽
阅读(1219)
推荐(0) 编辑
spring security的跨域保护(CSRF Protection)
摘要:CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 spring boot项目,在启用了@EnableWebSecurity注解后,csrf保护就自动生效了 使用了freemarker之类的模板引擎或者jsp,针对表单提交,可以在表单中增加如下
阅读全文
posted @
2020-03-28 15:26
溪水静幽
阅读(1625)
推荐(1) 编辑
Spring Security认证流程源码
摘要:Spring Security框架大体实现:首先在初始化Spring Security时,会创建一个类型为FilterChainProxy,名为 SpringSecurityFilterChain 的Servlet过滤器,这个过滤器只是一个代理,工作的是类型为SecurityFilterChain过
阅读全文
posted @
2020-02-24 15:11
溪水静幽
阅读(183)
推荐(0) 编辑
