m0_73302761的博客

访问其他模块，发送请求带着cookie进行发送，服务器获取cookie值，在redis中查询，根据key进行查询，如果找到就是登录状态。访问其他模块时，每次访问在地址栏带着生成字符串，在访问模块里面获取地址字符串，根据字符串获取用户信息。在项目中某个模块登录之后，按照规则生成字符串，把登录之后用户包含到生成字符串里面，返回字符串。在项目中任何一个模块登录后，把数据放到两个地方。按照一定规则生成字符串，字符串可以包含用户信息。session默认过期时间30分钟。可以把字符串通过cookie返回。

我们知道，http协议本身是一种无状态的协议，而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证，那么下一次请求时，用户还要再一次进行用户认证才行，因为根据http协议，我们并不能知道是哪个用户发出的请求，所以为了让我们的应用能识别是哪个用户发出的请求，我们只能在服务器存储一份用户登录的信息，这份登录信息会在响应时传递给浏览器，告诉其保存为cookie,以便下次请求时发送给我们的应用，这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。基于token的鉴权机制。

定义了认证Authentication的方法，是认证相关的核心接口，也是发起认证的出发点，因为在实际需求中，我们可能会允许用户使用用户名+密码登录，同时允许用户使用邮箱+密码，手机号码+密码登录，甚至，可能允许用户使用指纹登录（还有这样的操作？：是我们最常用的用户名和密码认证方式的主要处理类,构造了一个UsernamePasswordAuthenticationToken对象实现类，将用请求信息封装为Authentication。: 获取当前 request 对应的**权限配置****，

我们看到过滤器 实现的是 javax.servlet.Filter 接口，而这个接口是在Servlet规范中定义的，也就是说过滤器Filter 的使用要依赖于Tomcat等容器，导致它只能在web程序中使用。拦截器 Interceptor 是在请求进入servlet后，在进入Controller之前进行预处理的，Controller 中渲染了对应的视图之后请求结束。过滤器Filter是在请求进入容器后，但在进入servlet之前进行预处理，请求结束是在servlet处理完以后。

这一个配置非常重要，配置了。

试想一下，如果我们不使用Spring Security，如果保存用户信息呢，大多数情况下会考虑使用Session对吧？在Spring Security中也是如此，用户在登录过一次之后，后续的访问便是通过sessionId来识别，从而认为用户已经被认证。SecurityContextHolder存放用户信息，认证相关的信息是如何被存放到其中的，便是通过SecurityContextPersistenceFilter。

这一个配置非常重要，配置了。

本文参考 原文链接：https://blog.youkuaiyun.com/weixin_47450807/article/details/123227342跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。CORS(Cross-Origin Resource Sharing, 跨源资源共享)当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。因此，要想实现CORS进行跨域需要服务器进行一些设置，同时前端也需要做一些配置和分析。