myli92的博客

协议为用户资源的授权提供了一个安全的、开放而又简易的标准（开放授权标准）。它允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。

Component@Slf4j@Autowired@Override@Override> clazz) {@Overridelog.info("{} 对应的角色。//如果通过url关联权限为空，统一按没权限处理return 0;throw new AccessDeniedException("权限不足,无法访问");return 0;// 获取用户拥有的权限信息// 这里判断用户拥有的角色和该url需要的角色是否有匹配break;

JWT字符串，字符之间通过"."分隔符分为三个子串。 每一个子串表示了一个功能块，总共有以下三个部分：JWT 头、有效载荷和签名。头部：JWT 头部分是一个描述 JWT 元数据的 JSON 对象，主要设置一些规范信息，签名部分的编码格式就在头部中声明。载荷：token中存放有效信息的部分，是 JWT 的主体内容部分，是一个 JSON 对象，包含需要传递的数据。比如用户名，用户角色，过期时间等，但是不要放密码，会泄露！1. 基本流程 认证：通过自定义一个用户名和密码登录的过滤器JwtT

【代码】密钥工具。

MyAuthenticationProvider类主要用于用户的登录认证@Slf4j@Autowired@Autowired@Override//获取输入用户名//获取输入明文密码//根据用户名查询匹配用户//判断用户账户状态if (!throw new DisabledException("该账户已被禁用，请联系管理员");throw new LockedException("该账号已被锁定");

新建一个配置类WebSecurityConfig，并且继承WebSecurityConfigurerAdapter（如果WebSecurityConfigurerAdapter。@Autowired/*** formLogin() 默认使用了UsernamePasswordAuthenticationFilter* 默认使用了DaoAuthenticationProvider认证逻辑,使用configure可以配置UserDetailsService*/@Override。

Spring 是非常流行和成功的 Java 应用开发框架，Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架，提供了一套 Web 应用安全性的完整解决方案。

公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。Base64 编码是从二进制到字符的过程，用 64 个字符来表示任意的二进制数据，常用于在 HTTP 加密，图片编码传输等。MD5、SHA、HMAC这三种加密算法，是非可逆加密，不可解密的加密方法。只能进行简单的加密。对称加密的意思就是信息收发都有相同的一把钥匙，消息的加密解密都用这进行。高级加密标准，是下一代的加密算法标准，速度快，安全级别高；

SpringBoot Security 默认的用户名是user,密码就是日志打印的字符。

是一个鉴权生成加密token的一个名称权限框架，基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架；可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI。权限框架，可在C/S下运行。shiro是一套权限管理框架，包括认证、授权等，在使用时直接写相应的接口（小而简单的Shiro就足够）Shiro 默认是使用Session认证。一种权限实现标准，是一种安全的授权框架，提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置，授权第三方应用访问特定资源。

在使用Spring Security时发现，所有的get请求都可以正常访问，但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式。可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。方式1：禁用CSRF保