qq_32115993的博客

SpringSecurity-OAUTH21.概述1.1.SpringSecurity-Oauth2介绍SpingSecurityOauth2实现了Oatuh2，SpingSecurityOauth2分为两个大块，一者为认证授权(Authorization Server)服务和资源服务(Resource server)，认证授权服务一般负责执行认证逻辑(登录)和加载用户的权限(给用户授权)，以及认证成功后的令牌颁发 ，而资源服务器一般指的是我们系统中的微服务(被访问的微服务)，在资源服务器需要对用户的

七.记住我 - Remember me一.记住我概述1.1.什么是记住我Remember me(记住我)记住我，当用户发起登录勾选了记住我，在一定的时间内再次登录就不用输入用户名和密码了，即使浏览器退出重新打开也是如此。1.2.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能，其核心流程如下：1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创

六.授权结果处理一.授权失败处理1.1.概述当用户请求资源服务的资源时，需要进行用户的认证和授权检查，当认证或授权检查失败，我们需要要返回自己的失败结果信息，可以通过HttpSecurity设置授权失败结果处理器,内部通过 ExceptionTranslationFilter 调用AuthenticationEntryPoint实现匿名用户授权失败结果处理， ExceptionTranslationFilter 通过 AccessDeniedHandler来处理授权失败结果处理。1.2.定义认证检查

五.认证结果处理一.认证成功处理1.1.解决方案自定义类实现AuthenticationSuccessHandler接口复写 onAuthenticationSuccess方法，该方法其中一个参数是Authentication ，他里面封装了认证信息,用户信息UserDetails等，我们需要在这个方法中使用Response写出json数据即可1.2.认证成功结果处理1.定义AuthenticationSuccessHandler定义类实现AuthenticationSuccessHandler

四.授权流程-游刃有余1.授权流程原理1.1.授权流程描述授权一定是在认证通过之后，授权流程是通过FilterSecurityInterceptor拦截器来完成，FilterSecurityInterceptor通过调用SecurityMetadataSource来获取当前访问的资源所需要的权限，然后通过调用AccessDecisionManager投票决定当前用户是否有权限访问当前资源。授权流程如下RBAC传统授权流程：Security授权流程：在FilterSecurityIntercep

三.认证流程一.认证流程原理1.1.认证授权流程SpringSecurity是基于Filter实现认证和授权，底层通过FilterChainProxy代理去调用各种Filter(Filter链)，Filter通过调用AuthenticationManager完成认证 ，通过调用AccessDecisionManager完成授权。流程如下图：1.2.Security过滤器链我们知道，SpringSecurity是通过很多的过滤器链共同协作完成认证，授权的流程，SpringSecurity中核心的过滤

二.SpringSecurity-第二部分一.SpringSecurity概述1.1.SpringSecurity介绍Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功

Spring Security 入门一.认证授权概述1.1.什么是认证认证是对主体/用户身份的确认，在我们的生活中随处可见认证场景，如：小区门禁卡，人脸识别，指纹识别等都是对用户身份的确认，在传统的应用中我们通常使用用户名/用户ID和密码来进行用户的身份确认，即登录，但登录的方式不仅限制于用户名/密码的方式，认证是我们应用的第一道安全门，所以对于整个系统的安全来说显得极其重要。1.2.什么是授权控制不同的用户访问不同的权限 ，用户认证成功后，就可以对某些资源进行访问，但是不同的用户有不同的资源访问