Evan_L的博客

其实就是“记住我”功能。在我们工作/生活中，总会存在被打断的情况，临时需要去做其他事情。而当我们想回来继续处理的时候，通常都会发现，网页已经退出登录态了。也就是开发同学常说的，session超时了。而“记住我”则可以完美解决该问题。除此之外，对于移动端的APP而言，也有同样的妙用。可以让用户长时间保持登录态。“记住我”意味着，只要用户不是主动退出的，都应该认为用户还处于登录态。RememberMe可以作为保持登录态的一种手段，减少用户频繁使用系统的操作。

是否还在为怎么禁止多点登录而烦恼？不妨来参考下SpringSecurity如何实现的吧。相较于其他框架完全自定义实现来说，SpringSecurity提供了开箱即用的多点登录控制哦。

SpringSecurity是如何跳转到登录前的请求的？这个可就涉及到异常处理过滤器和认证过滤器的协同了。感兴趣的，进来看看哦

在Spring Security中，特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的，因此每个安全过滤器都可能发生安全异常，所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计，于是就有了专门的安全异常处理。注：下文我们都用异常处理来代指安全异常处理。异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常（鉴权异常）

我们通常将当前用户信息保存在session中，由HttpSessionSecurityContextRepository来管理。在请求进入后，先通过SecurityContextPersistenceFilter将HttpSessionSecurityContextRepository中的SecurityContext恢复到SecurityContextHolder，这样后续的处理就能通过它来获取SecurityContext了。

对于UsernamePasswordAuthenticationFilter而言，SessionManagementFilter有点名不副实，因为前者登录成功后就会自己调用SessionAuthenticationStrategy。因此学习session管理，我们的重点是SessionAuthenticationStrategy。

上回我们探讨了关于Spring Security，着实复杂。这次咱们聊的认证过滤器就先聊聊认证功能。涉及到多方协同的功能，咱分开聊。也给小伙伴喘口气，嘻嘻。此外也是因为只有登录认证了，才有后续的更多功能集成的可能。

前面我们探索了基于方法的权限配置方式，今天我们聊聊最为常用的基于HttpRequest的权限配置方式。

Spring Security的配置体系关系着我们能否用好Spring Security，也关系着我们能否按照自己的需要配置Security。同时，他也关系着Spring Security是如何构建安全框架的。

基于方法的权限配置的介绍，包括使用场景和设计以及其实现原理

登录认证与授权的概念，与SpringSecurity的支持

官方概述Spring Security是一款提供认证、授权、以及针对常见（网络）攻击的防御的框架。它为保护命令式和反应式应用程序提供了一流的支持，是保护基于Spring的应用程序的事实标准。从官方的介绍，我们可以看到他就是为基于Spring的应用量身定制的。这也是为什么我们如果使用Spring MVC/Spring Boot继承Spring Security如此丝滑的原因。认证授权、以及针对常见（网络）攻击的防御记住着三个关键词，因为他直接代表着Spring Security提供的三大核心功能/特性。