coolshyman的博客

需要注意的是，上述添加的thymeleaf- extras- springsecurity5依赖启动器中，其版本号同样是由Spring Boot统一整合并管理的。在上一篇Spring Security安全配置中，我们只是通过Spring Security 对后台增加了权限控制，前端页面并没有做任何处理，前端页面显示的还是对应的链接等内容，用户体验较差。打开项目首页index.html，引入Security 安全标签，并在页面中根据需要使用Security标签进行显示控制，修改后的项目首页内容如下所示。

而使用持久化Token的方式相对安全，用户每登录一次都会生成新的Token和Cookie，但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会，只有在用户进行第2次登录并更新Token和Cookie时，才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同，都是在用户选择[记住我]并成功登录后，将生成的Token存入Cookie中并发送到客户端浏览器，在下次用户通过同一客户端访问系统时，系统将直接从客户端Cookie中读取Token进行认证。

在代码中，首先使用@Aspect注解定义了切面类，由于该类在Spring中是作为组件使用的，所以还需要添加@Component注解才能生效。其中pointcut/value用于指定切入点表达式，而throwing属性值用于指定一个形参名来表示Advice方法中可定义与此同名的形参，该形参可用于访问目标方法抛出的异常。在使用时，通常需要指定一个value属性值，该属性值用于指定一个切入点表达式(可以是已有的切入点，也可以直接定义切入点表达式)。@Pointcut：用于定义切入点表达式。

如果目标对象的实现类没有实现接口而继承目标类，Spring AOP 将会采用 CGLIB 来生成 AOP 代理类。CGLIB是一个高性能开源的代码生成包，它采用非常底层的字节码技术，对指定的目标类生成一个子类，并对子类进行增强。- 如果目标对象的实现类实现了接口，Spring AOP 将会采用 JDK 动态代理来生成AOP代理类；AOP 思想的实现一般都是基于代理模式 ，在 Java 中一般采用 JDK 动态代理模式，但是我们都知道，JDK 动态代理模式只能代理接口而不能代理类。

而 AOP 技术则恰恰相反，它利用一种称为“横切”的技术，剖解开封装的对象内部，并将那些影响了多个类的公共行为封装到一个可重用模块，并将其名为“Aspect”，即方面。所谓“方面”，简单地说，就是将那些与业务无关，却为业务模块所共同调用的逻辑或责任封装起来，便于减少系统的重复代码，降低模块间的耦合度，并有利于未来的可操作性和可维护性。AOP 代表的是一个横向的关系，如果说“对象”是一个空心的圆柱体，其中封装的是对象的属性和行为；横切关注点的一个特点是，它们经常发生在核心关注点的多处，而各处都基本相似。

想要知道 @GetMapping 和 @PostMapping 的区别，首先了解一下@RequestMapping注解。Spring 通过 @Controller 注解找到相应的控制类后，还需要知道控制器内部对每一个请求是如何处理的，这就需要org.springframework.web.bind.annotation.RequestMapping 注解类型。 RequestMapping 注解类型用于映射一个请求或一个方法，其注解形式为 @RequestMapping ，可以使用该注解标注在一个请求或

拦截器概述Spring MVC 中的拦截器(Interceptor) 类似于Servlet 中的过滤器(Filter)，它主要用于拦截用户请求并做相应的处理。例如通过拦截器可以进行权限验证、记录请求信息的日志、判断用户是否登录等。拦截器的定义：要使用 Spring MVC 中的拦截器，就需要对拦截器进行定义和配置。通常拦截器类可以通过两种方式来定义。一种是通过实现 HandlerInterceptor 接口，或继承 HandlerInterceptor 接口的...