Spring Security学习总结
# Spring Security学习总结
Spring Security 的学习可谓是从未中断过。
就算仅是想简单的做一个后台管理项目来说,权限管理是绕不开的。权限管理对应的框架就只有shiro和Spring Security了,当时也是使用过shiro的,因为对于Spring Security是有着一种莫名的抵抗的态度。觉得Spring Security这个模块太大了,那时候网上的资料也不是很全,学起来很难,影响最深刻的是慕课网一个老师出的教程。
虽然是跟着把项目敲了一遍,实现了各种三方登录,但是当时也是非常懵懂,无法理解为什么是这样写的。
印象最深刻的就属登录接口,不同的项目,一个登录接口就可以看出很多内容。 登录接口的多种做法:
- 未集成
Spring Security,自己写的controller,账号密码正确后,按照自己规则生成token,token会与用户存在关系... - 集成了
Spring Security,但是还是自己写的controller,账号密码正确后,使用AccessTokenProvider去生成token... - 集成了
Spring Security,但是还是自己写的controller,通过访问固定的路径,进入自定义的Spring Security Filter(通过继承AbstractAuthenticationProcessingFilter实现),成功通过验证逻辑后,到达自定义的handler(通过继承AuthenticationSuccessHandler实现),通过AuthorizationServerTokenServices来获取token并返回... - 集成了
Spring Security,通过标准的/oauth/token去使用...
各种方式都能实现,但是又不尽相同。
写文章主要是来记录一下自己踩坑Spring Security的历史和梳理Spring Security源码的整个流程。
# 参考资料
上次更新: 10/7/2022