xqhys的博客

使用Spring Security3的四种方法概述    那么在Spring Security3的使用中，有4种方法：    一种是全部利用配置文件，将用户、权限、资源(url)硬编码在xml文件中，已经实现过，并经过验证；    二种是用户和权限用数据库存储，而资源(url)和权限的对应采用硬编码配置，目前这种方式已经实现，并经过验证。    三种是细分角色和权限

转载：https://segmentfault.com/a/1190000010645734序以前用shiro的比较多，不过spring boot倒是挺推崇自家的spring security的，有默认的starter，于是也就拿来用了。问题对于免登陆的url，采用java config，可以这样配置：@EnableWebSecuritypublic class Secur...

转载：https://www.ktanx.com/blog/p/5008介绍这是 OAuth 2.0 的用户指南。OAuth 1.0 与之大不相同，若有需求，请阅读 1.0 的用户指南。本用户指南分为两个部分，一部分针对的是 OAuth 2.0 的提供方[译者注：通常指服务提供方]，另一部分则是针对 OAuth 2.0 客户端。对于提供方和客户端双方来说，最好的示例代码是集成测试和示例...

转载：https://www.ktanx.com/blog/p/4949背景近来，互联网由http向https推进的步伐越来越快，除了各大浏览器之外，搜索引擎也特别的优待https，因此想着跟上步伐把自己的网站也弄成https。想要弄成https，ssl证书是个绕不过去的坎，各大CA机构的证书都价格不菲，要找个免费又受各大浏览器信任的证书着实不易。本来考虑StartSSL是个不错的...

转载：https://www.ktanx.com/blog/p/4916前言在前面Spring Security系列一 权限控制基本功能实现中，我们已经实现了基本功能，这一章我们来把用户的登录认证修改成贴近实际的数据库获取。Spring Security认证架构在这之前，先来了解一下Spring Security的认证架构，有篇不错的分析文章，具体可以看这里：https://my....

转载：https://www.ktanx.com/blog/p/4917前言Spring Security系列二 用户登录认证数据库实现中，我们已经把对用户的认证改成了数据库实现，功能上虽然完成了，但是用户的密码却都是以明文保存的，这在实际项目中安全系数上会有所欠缺。在本章中我们将实现如何对用户的密码进行加密。Spring Security中的密码加密在Spring Securit...

转载：https://www.ktanx.com/blog/p/4929前言前面我们已经实现了用户的自定义登录及密码的加密，接下来就是动态的权限验证了，也就是实现Spring Security的决策管理器AccessDecisionManager。权限资源 SecurityMetadataSource要实现动态的权限验证，当然要先有对应的访问权限资源了。Spring Securit...

Spring Security 怎么判断一个用户是否登录了呢？非常的简单，只要 Spring Context 中存储了一个 Authentication 的对象，那么 Spring Security 就认为用户已经登录。所以所有的操作都是为了往 Spring Context 中存储了一个 Authentication 的对象，这样就实现了自动登录的功能HttpServletRequest...

转载：http://qtdebug.com/spring-security-8-auto-login/Spring Security 怎么判断一个用户是否登录了呢？非常的简单，只要 Spring Context 中存储了一个 Authentication 的对象，那么 Spring Security 就认为用户已经登录。所以所有的操作都是为了往 Spring Context 中存储了一个 ...

转载：http://www.cnblogs.com/zmc/p/8260786.htmlspring Security下，X-Frame-Options默认为DENY,非Spring Security环境下，X-Frame-Options的默认大多也是DENY，这种情况下，浏览器拒绝当前页面加载任何Frame页面，设置含义如下：    DENY：浏览器拒绝当前页面加载任何Frame页面 ...

转载：http://www.blogjava.net/taochen1984/articles/310072.html研究了好长时间，不知道从哪里下手。新的版本，很多东西在网上找不到，只能看他们的文档，当然这些文档相当不错，就看是否耐心的研究了！总是有急躁的心理作祟，不能专心研读，却处处碰壁，效率上反而未达预期效果！终于，在无数次的沮丧下，稍微看到了点光亮！前面的文章太过皮毛，接下来的一些，...

理解退出功能术语退出（Logout）指的是用户使其安全session失效的一种操作。一般来说，用户在退出后，将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log Out”的链接，并再次访问站点以了解其如何实现功能的。在站点页头上添加“Log Out”链接正如我们在第二章中讨论的那样，Spring Security将会监视一些特殊的URL，这些URL将会触发过滤器

转载：https://segmentfault.com/a/1190000012167407序之前有篇文章讲了怎么进行免登录动态配置的方案，动用了反射去实现，有点黑魔法的味道，这里再介绍另外一种方案permitAllspring-security-config-4.2.3.RELEASE-sources.jar!/org/springframework/security/confi...