苏美尔人的天空

基于方法的权限控制 目录1.1     intercept-methods定义方法权限控制1.2     使用pointcut定义方法权限控制1.3     使用注解定义方法权限控制1.3.1    JSR-250注解1.3.2    @Secured注解1.3.3    支持表达式的注解1.4     方法权限控制的拦截器1.4.1    MethodSe

要实现退出登录的功能我们需要在http元素下定义logout元素，这样Spring Security将自动为我们添加用于处理退出登录的过滤器LogoutFilter到FilterChain。当我们指定了http元素的auto-config属性为true时logout定义是会自动配置的，此时我们默认退出登录的URL为“/j_spring_security_logout”，可以通过logout元素的l

匿名认证目录1.1     配置1.2     AuthenticationTrustResolver        对于匿名访问的用户，Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中，这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断Se

Remember-Me功能 目录 1.1     概述1.2     基于简单加密token的方法1.3     基于持久化token的方法1.4     Remember-Me相关接口和实现类1.4.1    TokenBasedRememberMeServices1.4.2    PersistentTokenBasedRememberMeServices

session管理目录 1.1     检测session超时1.2     concurrency-control1.3     session 固定攻击保护        Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。 1.1     检测session超时    

权限鉴定基础 目录1.1     Spring Security的AOP Advice思想1.2     AbstractSecurityInterceptor1.2.1    ConfigAttribute1.2.2    RunAsManager1.2.3    AfterInvocationManager        Spring Security的权限

权限鉴定结构目录1.1      权限1.2      调用前的处理1.2.1     AccessDecisionManager1.2.2     基于投票的AccessDecisionManager实现1.3      调用后的处理1.4      角色的继承 1.1    权限       所有的Authentication实现类都保存了一个Grant

基于表达式的权限控制目录1.1      通过表达式控制URL权限1.2      通过表达式控制方法权限1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制1.2.2     使用@PreFilter和@PostFilter进行过滤1.3      使用hasPermission表达式        Spring Secur

加密服务总是关联到一个特定的算法或类型,它既提供了密码操作(如Digital Signature或MessageDigest),生成或供应所需的加密材料(Key或Parameters)加密操作,也会以一个安全的方式生成数据对象(KeyStore或Certificate),封装(压缩)密钥(可以用于加密操作)。    Java Security API中，一个engine class就是定义

一、本文简介本文主要讲解Java编程中spring boot框架+spring security框架+spring security oauth2框架整合的例子,并且oauth2整合使用jwt方式存储二、学习前提首先是讲解oauth2的基本说明:推荐查看:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html上面的地址

我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置，该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证，哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。protected void configure(H

Filter目录1.1     Filter顺序1.2     添加Filter到FilterChain1.3     DelegatingFilterProxy1.4     FilterChainProxy1.5     Spring Security定义好的核心Filter1.5.1    FilterSecurityInterceptor1.5.2    E

intercept-url配置目录1.1     指定拦截的url1.2     指定访问权限1.3     指定访问协议1.4     指定请求方法 1.1    指定拦截的url       通过pattern指定当前intercept-url定义应当作用于哪些url。"/**" access="ROLE_USER"/> 1.2     指定访问权限

Jsp标签 目录1.1     authorize1.2     authentication1.3     accesscontrollist        Spring Security也有对Jsp标签的支持的标签库。其中一共定义了三个标签：authorize、authentication和accesscontrollist。其中authentication标签是用

对Acl的支持 目录1.1           准备工作1.2           表功能介绍1.2.1     表acl_sid1.2.2     表acl_class1.2.3     表acl_object_identity1.2.4     表acl_entry1.3           Acl主要接口1.4           配置AclServi

整合Cas 目录1.1           配置登录认证1.1.1     配置AuthenticationEntryPoint1.1.2     配置CasAuthenticationFilter1.1.3     配置AuthenticationManager1.2           单点登出1.3           使用代理1.3.1     代理端

首先我们为Spring Security专门建立一个Spring的配置文件，该文件就专门用来作为Spring Security的配置。使用Spring Security我们需要引入Spring Security的NameSpace。beans xmlns="http://www.springframework.org/schema/beans"  xmlns:security="http:

关于登录目录1.1     form-login元素介绍1.1.1    使用自定义登录页面1.1.2    指定登录后的页面1.1.3    指定登录失败后的页面1.2     http-basic 1.1     form-login元素介绍       http元素下的form-login元素是用来定义表单登录信息的。当我们什么属性都不指定的时候Sprin

核心类简介目录1.1     Authentication1.2     SecurityContextHolder1.3     AuthenticationManager和AuthenticationProvider1.3.1    认证成功后清除凭证1.4     UserDetailsService1.4.1    JdbcDaoImpl1.4.2    I

认证简介目录1.1     认证过程1.2     Web应用的认证过程1.2.1    ExceptionTranslationFilter1.2.2    在request之间共享SecurityContext 1.1     认证过程       1、用户使用用户名和密码进行登录。       2、Spring Security将获取到的用户名和密码封装成

异常信息本地化        Spring Security支持将展现给终端用户看的异常信息本地化，这些信息包括认证失败、访问被拒绝等。而对于展现给开发者看的异常信息和日志信息（如配置错误）则是不能够进行本地化的，它们是以英文硬编码在Spring Security的代码中的。在Spring-Security-core-xxx.jar包的org.springframework.securit

AuthenticationProvider目录1.1     用户信息从数据库获取1.1.1    使用jdbc-user-service获取1.1.2    直接使用JdbcDaoImpl1.2     PasswordEncoder1.2.1    使用内置的PasswordEncoder1.2.2    使用自定义的PasswordEncoder    

Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类，CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时，其首先会从缓存中获取，如果缓存中没有对应的UserDetails存在，则使用持有的UserD