spring security自定义指南

2017-12-24
阅读 11 分钟
10.4k
序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义AuthenticationProvider 自定义AccessDecisionManager 自定义securityMetadataSource 自定义access访问控制 自定义authenticationEntryPoint 自定义多个WebSecurityConfigurerAdapter ...

聊聊directory traversal attack

2017-12-23
阅读 5 分钟
8.1k
又称Path Traversal attack,即目录遍历攻击,旨在访问web服务器根目录外的文件/目录。通过是通过url或变量里头传递"../"来进行目录遍历。

聊聊spring security的role hierarchy

2017-12-22
阅读 11 分钟
8.6k
admin登录只能访问/admin,访问不了/user;而user登录只能访问/user这通常不大符合我们的业务需求,一般admin拥有所有权限的,也就是它应该能访问/user。这个问题扩展开来就是角色权限的继承问题,role hierarchy

聊聊spring security的账户锁定

2017-12-21
阅读 9 分钟
12k
对于登录功能来说,为了防止暴力破解密码,一般会对登录失败次数进行限定,在一定时间窗口超过一定次数,则锁定账户,来确保系统安全。本文主要讲述一下spring security的账户锁定。

SwitchUserFilter源码解析

2017-12-20
阅读 13 分钟
4.2k
spring-security-web-4.2.3.RELEASE-sources.jar!/org/springframework/security/web/authentication/switchuser/SwitchUserFilter.java

聊聊FilterSecurityInterceptor

2017-12-18
阅读 7 分钟
11.5k
前面的文章讲了SecurityContextPersistenceFilter是如何将context从session读取并写入的。其中还讲到了AbstractAuthenticationProcessingFilter是如何将鉴权成功的authentication写入context的。那么spring security是如何处理没有authentication的请求呢。答案就在FilterSecurityInterceptor。

聊聊SecurityContextPersistenceFilter

2017-12-17
阅读 17 分钟
9.3k
spring-security-web-4.2.3.RELEASE-sources.jar!/org/springframework/security/web/context/SecurityContextPersistenceFilter.java

聊聊spring security oauth2的几个endpoint的认证

2017-12-12
阅读 7 分钟
30.4k
spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerEndpointsConfiguration.java

聊聊spring security oauth2的password方式的认证

2017-12-11
阅读 10 分钟
20.5k
这个主要见上一篇文章,讲了是怎么拦截处理/oauth/token的,其中有个点还需要强调一下,就是支持password授权模式的话,还需要额外支持用户登录认证。

spring security oauth2 allowFormAuthenticationForClients原理解析

2017-12-10
阅读 16 分钟
10.4k
本文主要解析一下spring security oauth2中AuthorizationServerConfigurerAdapter的allowFormAuthenticationForClients的原理

spring security oauth2使用redis存储token

2017-12-09
阅读 13 分钟
26.4k
序 本文就来讲述一下spring security oauth2使用redis来存储token的配置及在redis中的存储结构 maven {代码...} 配置 {代码...} 这里配置了redis token store 当然配置文件需要指定redis地址 {代码...} redis中存储结构 keys * {代码...} 可以看到这里存了5个key auth_to_access:0ec8e677177b8eff1dc1c5f97a56836f {代码...

spring security oauth2之refresh token

2017-12-08
阅读 4 分钟
23.9k
oauth2官方只有4种授权方式,不过spring security oauth2把refresh token也归为authorizedGrantTypes的一种,因此配置的时候只需要这样就把所有方式都支持了

使用spring-security-oauth2作为client实现

2017-12-06
阅读 9 分钟
36.6k
序 本文主要讲一下如何使用spring security oauth2作为一个client来使用 四种模式 OAuth 2.0定义了四种授权方式。 授权码模式(authorization code) 简化模式(implicit)(client为浏览器/前端应用) 密码模式(resource owner password credentials)(用户密码暴露给client端不安全) 客户端模式(client credentials)(...

spring security oauth2 implicit模式

2017-12-05
阅读 1 分钟
6.3k
前面三篇文章讲了client credentials、password以及authorization code授权模式,本文就来讲一下implicit模式。

spring security oauth2 authorization code模式

2017-12-04
阅读 6 分钟
23.6k
前面两篇文章讲了client credentials以及password授权模式,本文就来讲一下authorization code授权码模式。

spring security oauth2 password授权模式

2017-12-03
阅读 9 分钟
44.2k
前面的一篇文章讲了spring security oauth2的client credentials授权模式,一般用于跟用户无关的,开放平台api认证相关的授权场景。本文主要讲一下跟用户相关的授权模式之一password模式。

spring security oauth2 client_credentials模式

2017-12-02
阅读 5 分钟
15.2k
序 本文主要简单介绍一下spring security oauth2的client_credentials模式 maven {代码...} auth server config {代码...} resource server config {代码...} demo controller {代码...} 验证 没有token请求资源 {代码...} 返回 {代码...} client_credentials请求授权 {代码...} 或者 {代码...} 返回 {代码...} 携带toke...

spring security动态配置权限的方案2

2017-12-01
阅读 2 分钟
7.5k
这里可以单独把AnonymousAuthenticationToken拿出来校验,也可以将放到roles统一校验,其role为ROLE_ANONYMOUS

spring mvc如何计算BEST_MATCHING_PATTERN_ATTRIBUTE

2017-11-29
阅读 13 分钟
4.4k
spring-webmvc-4.3.10.RELEASE-sources.jar!/org/springframework/web/servlet/DispatcherServlet.java

spring security filter获取请求的urlpattern

2017-11-28
阅读 1 分钟
5.3k
本文主要讲一下如何在spring security filter里头获取请求的HandlerMapping.BEST_MATCHING_PATTERN_ATTRIBUTE

解决spring security自定义filter重复执行问题

2017-11-27
阅读 2 分钟
14.2k
在spring容器托管的GenericFilterBean的bean,都会自动加入到servlet的filter chain,而上面的定义,还额外把filter加入到了spring security的AnonymousAuthenticationFilter之前。而spring security也是一系列的filter,在mvc的filter之前执行。因此在鉴权通过的情况下,就会先后各执行一次。

spring security免登录动态配置方案2

2017-11-26
阅读 5 分钟
5.8k
spring-security-config-4.2.3.RELEASE-sources.jar!/org/springframework/security/config/annotation/web/configurers/ExpressionUrlAuthorizationConfigurer.java

spring security动态配置url权限

2017-08-15
阅读 5 分钟
25.6k
对于使用spring security来说,存在一种需求,就是动态去配置url的权限,即在运行时去配置url对应的访问角色。这里简单介绍一下。

spring security运行时配置ignore url

2017-08-14
阅读 4 分钟
15.7k
以前用shiro的比较多,不过spring boot倒是挺推崇自家的spring security的,有默认的starter,于是也就拿来用了。

列出spring security的所有SecurityFilterChain

2017-08-13
阅读 2 分钟
3.2k
spring-security-config-4.1.4.RELEASE-sources.jar!/org/springframework/security/config/http/HttpSecurityBeanDefinitionParser.java