m0_53157173的博客

菜单功能权限：包括系统的目录导航、菜单的访问权限，以及按钮和 API 操作的权限数据权限：包括定义数据的查询范围权限，在不同系统中，通常叫做 “组织”、”站点“等，在新权限系统中，统一称作 ”组织“ 来管理数据权限至此，新权限系统的核心设计思路与模块都已介绍完成，新系统在转转内部有大量的业务接入使用，权限管理相比以前方便了许多。权限系统作为每家公司的一个基础系统，灵活且完备的设计可以助力日后业务的发展更加高效。转转统一权限系统的设计与实现（后端实现篇）转转统一权限系统的设计与实现（前端实现篇）

SSO 英文全称 Single Sign On，单点登录。SSO 是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。例如你登录网易账号中心（https://reg.163.com/ ）之后访问以下站点都是登录状态。网易直播网易博客网易花田网易考拉网易 Lofter。

JWT 其中一个很重要的优势是无状态，但实际上，我们想要在实际项目中合理使用 JWT 的话，也还是需要保存 JWT 信息。JWT 也不是银弹，也有很多缺陷，具体是选择 JWT 还是 Session 方案还是要看项目的具体需求。万万不可尬吹 JWT，而看不起其他身份认证方案。另外，不用 JWT 直接使用普通的 Token(随机生成，不包含具体的信息) 结合 Redis 来做身份认证也是可以的。我在「优质开源项目推荐的第 8 期推荐过的Sa-Token。

JWT （JSON Web Token） 是目前最流行的跨域认证解决方案，是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出，JWT 本身也是 Token，一种规范化之后的 JSON 结构的 Token。JWT 自身包含了身份验证所需要的所有信息，因此，我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性，大大减轻了服务端的压力。可以看出，JWT 更符合设计 RESTful API 时的「Stateless（无状态）」原则。

Cookie和Session都是用来跟踪浏览器用户身份的会话方式，但是两者的应用场景不太一样。维基百科是这样定义CookieCookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据（通常经过加密）。简单来说： Cookie存放在客户端，一般用来保存用户信息。下面是Cookie我们在Cookie中保存已经登录过的用户信息，下次访问网站的时候页面可以自动帮你登录的一些基本信息给填了。除此之外，Cookie还能保存用户首选项，主题和其他设置信息。使用Cookie保存SessionId或者。

本文适合在对SpringSecurity有基本认识，并且会基础使用的，想要进阶研究源码的小伙伴。

SpringSecurity坑SpringSecurity不能设置Session并发无效、剔除前一个用户无效的核心解决方案SpringSecurity不能设置Session并发无效、剔除前一个用户无效的核心解决方案关于使用SpringSecurity不能设置Session并发无效、剔除前一个用户无效的核心解决方案...

Spring Security---用户名密码登录流程源码解析引言探究无处不在的 Authentication登录流程校验用户信息保存引言你在服务端的安全管理使用了 Spring Security，用户登录成功之后，Spring Security 帮你把用户信息保存在 Session 里，但是具体保存在哪里，要是不深究你可能就不知道， 这带来了一个问题，如果用户在前端操作修改了当前用户信息，在不重新登录的情况下，如何获取到最新的用户信息？探究无处不在的 Authentication玩过 Spr

Spring Security---将用户数据存入数据库详解1.UserDetailService2.JdbcUserDetailsManager3.数据库支持4.测试1.UserDetailServiceSpring Security 支持多种不同的数据源，这些不同的数据源最终都将被封装成 UserDetailsService 的实例可以看到，在几个能直接使用的实现类中，除了 InMemoryUserDetailsManager 之外，还有一个 JdbcUserDetailsManager，使用

Spring Security---授权操作详解1.授权2.准备测试用户3.准备测试接口4.配置5.启动测试角色继承1.授权所谓的授权，就是用户如果要访问某一个资源，我们要去检查用户是否具备这样的权限，如果具备就允许访问，如果不具备，则不允许访问。2.准备测试用户因为我们现在还没有连接数据库，所以测试用户还是基于内存来配置。基于内存配置测试用户，我们有两种方式，第一种就是前面几篇文章用的配置方式，如下：@Overrideprotected void configure(Authenticat

Spring Security---详解登录步骤步骤分析1.新建项目默认生成密码的源码探究2.用户配置2.1 配置文件2.2 配置类加密方案2.2.1 PasswordEncoder2.2.2 配置3.自定义表单登录页3.1服务端定义3.登录接口4.登录参数4.登录回调4.1 登录成功回调4.2登录失败回调5.注销登录6.前后端分离中，使用 JSON 格式登录1.服务端接口调整2.自定义过滤器步骤分析1.新建项目首先新建一个 Spring Boot 项目，创建时引入 Spring Security

Spring Security知识点重点和盲点整理Http Basic登录认证的流程和原理PasswordEncoder详解PasswordEncoder 接口接口实现类formLogin模式登录认证说明登录认证及资源访问权限的控制用户及角色信息配置Http Basic登录认证的流程和原理@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protec

Spring security知识盲区Spring Security中文文档JWT 进阶 -- JJWTGenericFilterBean---MVC过滤器-超类注解 EnableWebSecurity 启用Web安全Spring Security相关资料Spring Security中文文档Spring Security中文文档JWT 进阶 – JJWT侧重用法，不够细致侧重用法，较为详细的使用教程GenericFilterBean—MVC过滤器-超类了解即可注解 EnableWe

JWT常见的认证机制HTTP Basic AuthCookie AuthOAuthToken AuthJWT简介JWT组成头部(Header)负载(Payload)签证、签名（signature）JJWT简介快速入门token的创建token的验证解析token过期校验自定义claimsSpring Security Oauth2 整合JWT整合JWT扩展JWT中存储的内容Java中解析JWT中的内容刷新令牌Spring Security Oauth2 整合单点登录（SSO）创建客户端工程,添加依赖修改配置

Oauth2协议Oauth2简介角色常用术语令牌类型特点授权模式授权码模式（Authorization Code）简化授权模式（Implicit）密码模式（Resource Owner PasswordCredentials）客户端模式（Client Credentials）刷新令牌----令牌过期Spring Security Oauth2授权服务器Spring Security Oauth2架构Spring Security Oauth2授权码模式创建项目添加依赖编写配置类编写实体类编写Service编

Spirng Security案例新建工程，引入依赖创建启动项和controller层启动项目自定义用户名和密码配置文件中设置用户名和密码关闭验证功能基于内存中的用户信息案例新建工程，引入依赖<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-inst