The_flying_pig的博客

来源于黑马程序员： 手把手教你精通新版SpringSecurity先说OAuth，OAuth是Open Authorization的简写。OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAuth是安全的。OAuth2.0是OAuth协议的延续版本，但不向前兼容(即完全废止了OAuth1.0)。假设，A网站是一个打印照片的网站

从分布式认证流程中，我们不难发现，这中间起最关键作用的就是token，token的安全与否，直接关系到系统的 健壮性，这里我们选择使用JWT来实现token的生成和校验。JWT，全称JSON Web Token，官网地址，是一款出色的分布式身份校验方案。可以生成token，也可以解析检验token。**基本原理：**同时生成两把密钥：私钥和公钥，私钥隐秘保存，公钥可以下发给信任客户端私钥加密，持有私钥或公钥才可以解密公钥加密，持有私钥才可解密优点：安全，难以破解缺点。

编写异常处理器拦截403异常//如果是权限不足异常，则跳转到权限不足页面！//其余的异常都到500页面！再次测试产品列表就可以到自定义异常页面了。

从这里我们就可以知道，我们的spring-security.xml需要放到父容器中被保护起来，不能放到子容器中被直接访问说明：SpringSecurity可以通过注解的方式来控制类或者方法的访问权限。注解需要对应的注解支持，若注解放在 controller类中，对应注解支持应该放在mvc配置文件中，因为controller类是有mvc配置文件扫描并创建的，同 理，注解放在service类中，对应注解支持应该放在spring配置文件中。

过滤器是一种典型的AOP思想通过此章节，我们对SpringSecurity工作原理有了一定的认识。但理论千万条，功能第一条，探寻底层，是 为了更好的使用框架。那么，言归正传！到底如何使用自己的页面来实现SpringSecurity的认证操作呢？要完成此功能，首先要有一套 自己的页面！在SpringSecurity主配置文件中指定认证页面配置信息修改认证页面的请求地址再次启动项目后就可以看到自定义的酷炫认证页面了！