liangshitian的博客

若依开源框架登录使用的配置大部分都是security自定义的，目前希望在此框架基础上支持自定义的登录，如手机号+密码登录认证、手机号+短信验证码认证。1、自定义登录实现思路主要是实现继承DaoAuthenticationProvider类，重写additionalAuthenticationChecks方法，将通过密码标识来判断是不是需要验证密码和免密验证。2、继承DaoAuthenticationProviderpackage com.tuitui.framework.security.

JWT请查阅这篇文章介绍：https://blog.youkuaiyun.com/qq_33612228/article/details/108853525Spring SecuritySpring Security 是 Spring 全家桶中一个功能强大且高度可定制的身份验证和访问控制框架。与所有 Spring 项目一样，我们可以轻松扩展 Spring Security 以满足自定义要求。由于 Spring Security 功能十分强大，相比于其他技术来说很难上手，很多刚接触 Spring Securi

1、什么是jwt目前流行的跨域认证解决方案，一种基于JSON的、用于在网络上声明某种主张的令牌(token),通过后台是否识别此令牌来保证安全性，负载中携带了用户的一些信息,减少数据库查询量（官网: https://jwt.io/）。2、jwt原理jwt = 头部(header)+载荷(payload)+签证(signature)1）header:JWT的header声明了2部分信息，类型和加密算法，{'typ':'JWT','alg':'HS256'}将其ba

本篇文章主要介绍 Shiro多realm，根据不同的登录类型指定不同的 realm。由于项目上需要支持原有的sys_user系统用户做登录验证，又要加上现在需要做微信端sys_wx_user的用户验证。实现的思路就是需要前端在请求头里加一个loginType字段来区分当前登录使用那个realm去做认证。而且这个多realm还可以做密码和免密校验。1、目前需要两个Realm，第一个是默认的系统认证（DefaultUserRealm.java）这里和正常的shiro认证逻辑一致，主要是验证sys_us.

前言1.放弃Cookie,Session,使用JWT进行鉴权，完全实现无状态鉴权。2.JWT密钥支持过期时间；jwt作为创建验证token工具，并选择一种验证方式与算法。3.使用redis做缓存处理，缓存token等等登录信息，以实现单点登录与超时登录功能。4.密码加密(采用AES-128 + Base64的方式)。5.根据RefreshToken自动刷新AccessToken...