spring security 3.0已经可以使用spring el表达式来控制授权，允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 这里我们定义了应用/person/*UR…

项目准备添加依赖配置认证服务器配置资源服务器配置application.yml客户端信息（不配置的话，控制台会默认打印clientid和clietSecret）定义MyUserDetailsServi

OAuth2是一种授权协议，简单理解就是它可以让用户在不将用户名密码交给第三方应用的情况下，第三方应用有权访问用户存在服务提供商上面的数据。 Spring Social就是为我们将OAuth2认证流程封装到SocialAuthenticationFilter过滤器中，并根据返回…

在Spring Security源码分析一：Spring Security认证过程和Spring Security源码分析二：Spring Security授权过程两章中。我们已经详细解读过Spring Security如何处理用户名和密码登录。（其实就是过滤器链）本章我们将仿…

在上一章Spring-Security源码分析三-Spring-Social社交登录过程中，我们已经实现了使用Spring Social+Security的QQ社交登录。本章我们将实现微信的社交登录。（微信和QQ登录的大体流程相同，但存在一些细节上的差异，下面我们来简单实现一下…

从图中可以看出执行的顺序。来看看几个作者认为比较重要的 Filter 的处理逻辑，UsernamePasswordAuthenticationFilter，AnonymousAuthenticationFilter，ExceptionTranslationFilter，Filt…

重启服务之后，用户再次登入系统会由RememberMeAuthenticationFilter拦截，从Cookie中读取Token信息,与persistent_logins表匹配判断是否使用记住我功能。最中由UserDetailsService查询用户信息

Header 包含了一些元数据，至少会表明 token 类型以及 签名方法。 Claims 部分包含了一些跟这个 token 有关的重要信息。 JWT 标准遵照 JSON Web Signature (JWS) 标准来生成签名。签名主要用于验证 token 是否有效，是否被篡改。

Session管理本文主要描述在SpringSecurity下Session的以下三种管理，Session超时时间Session的并发策略集群环境Session处理Session超时applicati