2012年开始工作，全栈开发老兵，目前已是一个老师，分享这么多年的心得体会

在前面的章节中，已经给大家介绍了Spring Security的很多功能，在这些众多功能中，我们知道其核心功能其实就是 认证+授权。

实现接口：PersistentTokenRepository@Service@Resource@Override@Override@Override@Override自定义token实体类以及表@Data@Mapper配置token显然，两种方案都存在cookie被盗取导致身份被暂时利用的可能，如果有更高的安全性需求，建议使用Spring Security提供的令牌持久化方案。

SpringSecurity教程

一种用于授权的开放标准，用于允许用户授权第三方应用访问其受保护的资源，而无需将其凭据直接提供给第三方应用。OAuth 2.0通过使用访问令牌来实现授权，该令牌由授权服务器颁发给第三方应用，以便访问用户受保护的资源。OAuth 2.0还提供了一种用于验证用户身份和授权的流程，包括重定向用户到授权服务器以获取授权码，然后交换该授权码以获取访问令牌。OAuth 2.0已经成为许多互联网服务和应用程序的标准授权机制，包括社交媒体平台、API服务和移动应用程序。

RBAC基于角色的权限访问控制（Role-Based Access Control）是商业系统中最常见的权限管理技术之一。RBAC是一种思想，任何编程语言都可以实现，其成熟简单的控制思想 越来越受广大开发人员喜欢。在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中，角色是为了完成各种工作而创造，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。

随着Web应用程序的普及和发展，网络攻击成为了一个严重的问题。其中，CSRF（Cross-Site Request Forgery）攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作，如恶意转账、修改用户信息等。为了提高应用程序的安全性，我们必须采取措施保护Web应用程序，其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制，并提供一些示例和实践建议，以帮助开发人员实现更安全的Web应用程序。

跨域是一种浏览器同源安全策略，即浏览器单方面限制脚本的跨域访问。

/增加通过加密算法名来获取加密算法。

Json Web Token 的简称就是 JWT，通常可以称为 Json 令牌。它是RFC 7519 中定义的用于安全的将信息作为 Json 对象进行传输的一种形式。JWT 中存储的信息是经过数字签名的，因此可以被信任和理解。可以使用 HMAC 算法或使用 RSA/ECDSA 的公用/专用密钥对 JWT 进行签名。使用 JWT 主要用来下面两点认证(Authorization)：这是使用 JWT 最常见的一种情况，一旦用户登录，后面每个请求都会包含 JWT，从而允许用户访问该令牌所允许的路由、服务和资源。

只需在两个浏览器中用同一个账号登录就会发现，到目前为止，系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上，Spring Security已经为我们提供了完善的会话管理功能，包括会话固定攻击、会话超时检测以及会话并发控制。

在Spring Security中，实现验证码校验的方式有很多种，最简单的方式就是自定义一个专门处理验证码逻辑的过滤器，将其添加到Spring Security过滤器链的合适位置。当匹配到登录请求时，立刻对验证码进行校验，成功则放行，失败则提前结束整个验证请求。说到Spring Security的过滤器，我们先回顾一下前面使用过的配置。//@EnableWebSecurity:开启SpringSecurity 之后会默认注册大量的过滤器servlet filter。

org.springframework.security.authentication.BadCredentialsException: 用户名或密码错误。当我们登录的时候，如果用户名找不到，则抛出:UsernameNotFoundException，可以被拦截到LoginFailureHandler。因为UsernameNotFoundException继承自：AuthenticationException。

在SpringSecurity登录之前增加一个过滤器拿到账号密码，然后设置到SpringSecurity的request parameter中：不推荐继承：AbstractAuthenticationProcessingFilter，或者UsernamePasswordAuthenticationFilter，在SecurityConfig中配置如下，这种方式属于替换SpringSecurity默认的登录过滤器：推荐@Resource@Bean@Override。

让Spring Security适应系统，而非让系统适应Spring Security，是Spring Security框架开发者和使用者的共识。下面我们将使用自定义数据库模型接入Spring Security，数据库依然是MySQL，持久层框架则选用MyBatisPlus（倾向于使用JPA的读者也可以自行选型，它们在Spring Security部分的实践是一样的）。旁枝末节的知识会点到即止，我们重点介绍Spring Security相关的内容，所以期望读者自行阅读相关资料，也可以选择暂时略过。

我们在前面有了解到可以在application.yml中配置用户名密码，那么可以猜想：肯定是在项目启动的时候加载的，我们通过鼠标点击进入SecurityProperties，我们在User中的getName上打断点，这样项目启动的时候就可以走到这里 之后我们通过点击：Drop Frame可以往回走进入如下方法： 我们进入该类中找到如下方法：loadUserByUsername是登录的时候实际的查询账号密码比对的方法 当我们知道loadUserByUsername方法后，打断点启动项目，登录会发现该方法被调用

我们初步引入了Spring Security，并使用其默认生效的HTTP基本认证来保护URL资源，本章我们使用表单认证来保护URL资源。

SpringSecurity使用logout功能时, 退出请求必须是post请求, 否则报404错误. 原因是spring security默认开启了csrf功能.1、可以使用form形式, 使用submit post到/logout. 使用post请求不需要关闭csrf功能.2、如果不使用post请求, 可以把csrf功能关掉, 如下面代码中的最后一行.增加关闭csrf配置。

添加如下依赖：spring-boot-starter-security。

Spring Security 的前身是 Acegi Security，在被收纳为Spring子项目后正式更名为Spring Security。Spring Security是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro，它提供了更丰富的功能，社区资源也比Shiro丰富；Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准；

Spring Security 的前身是Acegi Security，在被收纳为Spring 子项目后正式更名为Spring Security。Spring Security目前已经到了6.x，并且加入了原生OAuth2.0框架，支持更加现代化的密码加密方式。可以预见，在Java应用安全领域，Spring Security会成为被首先推崇的解决方案，就像我们看到服务器就会联想到Linux一样顺理成章。应用程序的安全性通常体现在两个方面：认证和授权。认证是确认某主体在某系统中是否合法、可用的过程。