EdSheeran的博客

文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo

文章目录*异常处理**12.1Spring Security异常体系**12.2`ExceptionTranslationFilter`原理分析**`AuthenticationEntryPoint`**`AccessDeniedHandler`**`ExceptionTranslationFilter`**12.3自定义异常配置*异常处理Spring security中关于异常的处理主要是两个方面：认证异常处理、权限异常处理，除此之外的异常则抛出，交给spring去处理。12.1Spring S

文章目录*跨域问题**11.1什么是CORS**11.2Spring处理方案**11.2.1`@CrossOrigin`**11.2.2`addCorsMappings`**11.2.3`CorsFilter`**11.3Spring Security处理方案**11.3.1特殊处理`OPTIONS`请求**11.3.2继续使用`CorsFilter`**11.3.3专业解决方案*跨域问题11.1什么是CORSCORS(Cross-Origin Resource Sharing)是由W3C制定的一种

文章目录*HTTP认证(实际使用较少)**10.1HTTP Basic authentication**10.1.1简介*HTTP认证(实际使用较少)HTTP提供了一个用于权限控制和认证的通用方式，这种认证方式通过HTTP请求头来提供认证信息，而不是通过表单登录。最熟知的应该是HTTP Basic authentication，另外还有一种相对更安全的HTTP Digest authentication。10.1HTTP Basic authentication10.1.1简介HTTP Ba

文章目录*漏洞保护**9.1CSRF攻击与防御**9.1.1CSRF简介**9.1.2CSRF攻击演示**9.1.3CSRF防御**令牌同步模式**`SameSite`**需要注意的问题**9.1.4源码分析**`CsrfToken`**`CsrfTokenRepository`**`CsrfFilter`**`CsrfAuthenticationStrategy`**9.2HTTP响应头处理**9.2.1缓存控制**`Cache-Control`**`Pragma`**`Expires`**9.2.2`X

文章目录*`HttpFirewall`**8.1`HttpFirewall`简介**8.2`HttpFirewall`严格模式**8.2.1`rejectForbiddenHttpMethod`**8.2.2`rejectedBlocklistedUrls`**8.2.3`rejectedUntrustedHosts`**8.2.4`isNormalized`**8.2.5`containsOnlyPrintableAsciiCharacters`**8.3`HttpFirewall`普通模式*HttpF

文章目录*会话管理**7.1会话简介**7.2会话并发管理**7.2.1实战**7.2.2原理分析**`SessionInformation`**`SessionRegistry`**`SessionAuthenticationStrategy`**`ConcurrentSessionControlAuthenticationStrategy`**`RegisterSessionAuthenticationStrategy`**`CompositeSessionAuthenticationStrategy`

文章目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`*RememberMe6.2RememberMe基本用法/** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时，多了一个请求参数remember-me: on，用

文章目录*密码加密**5.3`PasswordEncoder`详解**5.3.1`PasswordEncoder`常见实现类**5.3.2`DelegatingPasswordEncoder`**5.4实战**5.5加密方案自动升级**5.6是谁的`PasswordEncoder`*密码加密5.3PasswordEncoder详解Spring security中通过PasswordEncoder接口定义了密码加密和比对的相关操作：public interface PasswordEncoder

文章目录*过滤器链分析**4.1初始化流程分析**4.1.1`ObjectPostProcessor`**4.1.2`SecurityFilterChain`**4.1.3`SecurityBuilder`**`SecurityBuilder`**`HttpSecurityBuilder`**`AbstractSecurityBuilder`**`AbstractConfiguredSecurityBuilder`**`ProviderManagerBuilder`**`AuthenticationMana

文章目录*认证流程分析**3.1登录流程分析**3.1.1`AuthenticationManager`**3.1.2`AuthenticationProvider`**3.1.3`ProviderManager`**3.1.4`AbstractAuthenticationProcessingFilter`**3.2配置多个数据源**3.3添加登录验证码*认证流程分析3.1登录流程分析要搞清楚spring security认证流程，得先认识与之相关的三个基本组件：AuthenticationMana

文章目录*Spring security认证**2.1Spring security基本认证**2.1.2流程分析**2.1.3原理分析**默认用户生成**默认页面生成**2.2登录表单配置**2.2.2配置细节**登录成功**登录失败**注销登录**2.3登录用户数据获取**2.3.1从`SecurityContextHolder`中获取**`SecurityContextHolder`**`SecurityContextPersistenceFilter`**2.3.2从当前请求对象中获取**2.4用户

文章目录*Spring security架构概览**1.2Spring security核心功能**1.3Spring security整体架构**1.3.1认证和授权**1.3.1.1认证**1.3.1.2授权**1.3.2Web安全**1.3.3登录数据保存*Spring security架构概览1.2Spring security核心功能对于一个安全管理框架而言，无论是shiro还是spring security，最核心的功能，无非就是如下两方面：认证，即身份验证(你是谁)。授权，即访问