①ticket、全局会话、局部会话 ②两种情景：sso已登录、sso未登录 ③sso中的细节，如何跳转，是否需要共用redis ④安全优化：如何防止ticket被篡改，盗用，防重放 ⑤防重放机制的方案

最近发现了一个很好的微服务权限解决方案，可以通过认证服务进行统一认证，然后通过网关来统一校验认证和鉴权。此方案为目前最新方案，仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本，本文将详细介绍该方案的实现，希望对大家有所帮助！ micro…

上一章讲了微服务下的用户身份认证《SpringCloud Gateway 身份认证》，这次主要讲如何进行鉴权。 Java下常用的安全框架主要有Spring Security和shiro，都可提供非常强大的功能，但学习成本较高。在微服务下鉴权多多少少都会对服务有一定的入侵性。 为…

在工作中，随着接触的项目越来越多，不同的开发语言，不同的部署系统，不同的项目都要维护自己的用户认证系统，有没有一种好的解决方案来解决这个痛点呢？答案肯定是有的，那就是业界鼎鼎有名的sso单点登录系统，也许你很早就听过这个词，但是只闻其声，不知其意，下面我们就将一起实战一次cas…

Cookie除了key和value以外有几个属性。 其他的都很熟悉了，最后一个是 Chrome 51 开始，浏览器的 Cookie 新增加了一个 SameSite 属性，用来防止 CSRF 攻击和用户追踪。 在Javaweb应用中 ，设置 Cookie一般都是用 javax.s…

权限这一概念可以说是随处可见：等级不够进入不了某个论坛版块、对别人发的文章我只能点赞评论但不能删除或修改、朋友圈一些我看得了一些看不了，一些能看七天内的动态一些能看到所有动态等等等等。 每个系统的权限功能都不尽相同，各有其自身的业务特点，对权限管理的设计也都各有特色。不过不管是…

当我们通过oauth2 去获取 token 时，若当前用户已经存在对应的token，直接返回而不不会创建新 token。 这就意味着，虽然设置了对应客户端获取 token 的有效时间，这里获取到的token。 若是已下发旧token，有效时间不会和session 机制一样自动续…

下。 SpringSession中对于sessionId的解析相关的策略是通过HttpSessionIdResolver这个接口来体现的。HttpSessionIdResolver有两个实现类： 这两个类就分别对应SpringSession解析sessionId的两种不同的实现…

一、SPEL表达式权限控制从springsecurity3.0开始已经可以使用springExpression表达式来控制授权，允许在表达式中使用复杂的布尔逻辑来控制访问的权限。SpringSecur