日常bb

日常bb

Spring Security学习总结

97
2022-10-01
Spring Security学习总结

Spring Security学习总结

Spring Security 的学习可谓是从未中断过。

就算仅是想简单的做一个后台管理项目来说,权限管理是绕不开的。权限管理对应的框架就只有shiroSpring Security了,当时也是使用过shiro的,因为对于Spring Security是有着一种莫名的抵抗的态度。觉得Spring Security这个模块太大了,那时候网上的资料也不是很全,学起来很难,影响最深刻的是慕课网一个老师出的教程。

虽然是跟着把项目敲了一遍,实现了各种三方登录,但是当时也是非常懵懂,无法理解为什么是这样写的。

印象最深刻的就属登录接口,不同的项目,一个登录接口就可以看出很多内容。
登录接口的多种做法:

  • 未集成Spring Security,自己写的controller,账号密码正确后,按照自己规则生成token,token会与用户存在关系...
  • 集成了Spring Security,但是还是自己写的controller,账号密码正确后,使用AccessTokenProvider去生成token...
  • 集成了Spring Security,但是还是自己写的controller,通过访问固定的路径,进入自定义的Spring Security Filter(通过继承AbstractAuthenticationProcessingFilter实现),成功通过验证逻辑后,到达自定义的handler(通过继承AuthenticationSuccessHandler实现),通过AuthorizationServerTokenServices来获取token并返回...
  • 集成了Spring Security,通过标准的/oauth/token去使用...

各种方式都能实现,但是又不尽相同。

写文章主要是来记录一下自己踩坑Spring Security的历史和梳理Spring Security源码的整个流程。

参考资料