紫眸的博客

1.背景介绍本文主要介绍页面嵌入到第三方系统的两个方案。分为三个步骤，页面嵌入、请求跨域、访问认证。2.页面嵌入方案页面嵌入方案有“iframe标签嵌入”和“SDK代码嵌入”。两种方案的灵活性和性能各不相同，下面介绍一下两者的差异。2.1.iframe标签嵌入iframe嵌入是目前使用很广泛的一种嵌入方案，直接使用iframe标签+网页地址就可以嵌入。优点是“主页面和嵌入页面相互隔离，不存在脚本冲突，样式影响问题”。缺点...

上篇回顾上篇介绍了HttpSecurity如何建造过滤器链，本文主要介绍几个主要的过滤器。认证过滤器 UsernamePasswordAuthenticationFilter参数有username,password的，走UsernamePasswordAuthenticationFilter，提取参数构造UsernamePasswordAuthenticationToken进行认证，成功则填...

上篇回顾前面我们已经分析了Spring Security的核心过滤器FilterChainProxy的创建和运行过程，认识了建造者和配置器的作用。现在我们知道WebSecurity作为一个建造者就是用来创建核心过滤器FilterChainProxy实例的。WebSecurity在初始化的时候会扫描WebSecurityConfigurerAdapter配置器适配器的子类（即生成HttpSec...

上篇回顾我们已经知道了Spring Security的核心过滤器的创建和原理，本文主要介绍核心过滤器FilterChainProxy是如何在tomcat的ServletContext中生效的。ServletContext如何拿到FilterChainProxy的过滤器对象我们都知道，Bean都是存在Spring的Bean工厂里的，而且在Web项目中Servlet、Filter、Listen...

上篇回顾框架的核心是一个过滤器，这个过滤器名字叫springSecurityFilterChain，类型是FilterChainProxyWebSecurity和HttpSecurity都是建造者WebSecurity构建目标是FilterChainProxy对象HttpSecurity的构建目标仅仅是FilterChainProxy中的一个SecurityFilterChain。@E...

三句话解释框架原理整个框架的核心是一个过滤器，这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy核心过滤器里面是过滤器链（列表），过滤器链的每个元素都是一组URL对应一组过滤器WebSecurity用来创建FilterChainProxy过滤器，HttpSecurity用来创建过滤器链的每个元素。框架接口设计关注两个东西：建造者...

版本Spring Security Oauth2 : 2.3.5.RELEASESpring Boot 2.1.3Spring Boot Starter: 2.1.3.RELEASE解决思路Spring Security 的两大功能认证和鉴权，通过FilterChain（过滤器链）实现的，不同的请求经过不同的过滤器链。Spring Security Oauth2 增加了拓展的过滤器...

场景一 (主系统不管理权限)：第三方系统通过认证中心，获取用户的信息。第三方系统进行权限管理，主系统只提供用户信息QQ、微信、FaceBook、Github...场景二 (主系统管理粗粒度权限)：第三方系统依赖于认证中心，获取用户及权限信息。主系统管理账户体系、粗粒度权限体系微信小程序、支付宝小程序...场景三 (主系统管理所有权限)：第三方客户端完全依赖于主系统，获取用户及...

SpringSecurity自定义权限验证、解决鉴权失效和公共接口问题本文主要介绍如何使用spring-security来实现自定义的权限验证，以及如何解决鉴权时部分接口鉴权失效变成公共接口的问题，用户登录认证的部分已省略。自定义权限验证的实现SpringSecurity自定义权限验证时需要实现三个接口：AccessDecisionManager ： 自定义鉴权管理器，根据URL资源权...

SpringSecurity实现自定义登录认证、权限验证、鉴权Demo源码：https://github.com/ygsama/ipa自定义登录认证的实现需要实现三个接口UserDetails 用户类接口UserDetailsService 查询用户密码的service 接口AuthenticationProvider 为认证管理器AuthenticationManager 提供验证自定义权限验证时也需要实现三个接口：