西京刀客

Spring Security-快速开始（Spring Security 身份认证流程）

Spring Security OAuth2如何自定义返回的 Token 信息

一般登录后，服务端会给用户发一个凭证。常见有以下的两种：* 基于 Session 客户端会存 cookie 来保存一个 sessionId ，服务端存一个 Session * 基于 token 客户端存一个 token 串，服务端会在缓存中存一个用来校验此 token 的信息。

文章目录一、什么是CSRF1. 如何防御CSRF攻击二、何时使用CSRF保护三、Spring Security的CSRF token攻击防护四、如何关闭Spring SecurityCSRF防护一、什么是CSRFCSRF是指跨站请求伪造（Cross-site request forgery），是web常见的攻击之一，攻击方通过伪造用户请求访问受信任站点。通常的CSRF攻击方式如下：你登录了网站A，攻击者向你的网站A账户发送留言、伪造嵌入页面，带有危险操作链接。当你在登录状态下点击了攻击者的连接，因

文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例一、问题背景每个不同的业务服务有的接口需要认证后才能访问，有的接口是不需要认证就可以访问的，有的接口可能是需要某些权限、角色才可以访问。二、spring security访问控制 url 匹配Spring Security——访问控制 url 匹配参考URL: http://www.wjxin.cn/wjx/2020

Spring Security【详解】GrantedAuthority（已授予的权限）参考URL: https://www.cnblogs.com/longfurcat/p/9417422.htmlGrantedAuthority接口我们知道UserDeitails接口里面有一个getAuthorities()方法。这个方法将返回此用户的所拥有的权限。这个集合将用于用户的访问控制，也就是Authorization。所谓权限，就是一个字符串。一般不会重复。所谓权限检查，就是查看用户权限列表中是否含

@PreAuthorize@PreAuthorize

文章目录一、问题背景二、 (BCryptPasswordEncoder)加密及判断密码是否相同三、BCryptPasswordEncoder源码分析一、问题背景任何应用考虑到安全，绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5，结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。二、 (BCrypt