@[toc] 因为写了不少 Spring Security 文章的缘故，所以总是有小伙伴来问松哥：按钮级别的权限怎么实现？甚至有一些看过 vhr 的小伙伴也问这种问题，其实有的时候搞得我确实挺郁闷的，

对于前端来说，登录就是把用户信息提交上去，后续就不用前端去担心了。但是做过一个登陆sdk的项目，发现这里边的逻辑不是那么简单。下面是我对登陆的一些理解分享给大家 http协议是无状态的，它不能以状态来区分和管理请求和响应。也就是说，如果用户通过账号和密码来进行用户认证后，在下次…

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 SSO一般都需要一个独立的认证中心（passport），子系统的登录均得通过passpor…

有赞作为一个商家服务公司，通过产品和服务，帮助互联网时代的生意人成功。在新零售的浪潮下，有赞零售为商家提供不同规模的门店和网店经营解决方案，帮助零售商家们快速进入新零售时代。与传统网上商城场景不同，零售面对着全新的业务场景和难题，一家运转成熟的新零售店铺，通常需要包括老板、店长…

相信不少前后端的朋友，在面试时都会被问到类似的问题。 在我对密码学一无所知时，也仅会回答：“MD5加密啊。” 诸不知，密码学在网络七层模型，甚至web开发中的应用比我想象得多得多。 1. 什么是密码学？ 密码学是各种安全应用程序所必需的，现代密码学旨在创建通过应用数学原理和计算…

在 使用Golang和MongoDB构建 RESTful API已经实现了一个简单的 RESTful API应用，但是对于有些API接口需要授权之后才能访问，在这篇文章中就用 jwt 做一个基于Token的身份验证，关于 jwt 请访问 JWT有详细的说明,而且有各个语言实现的…

》 ，密谋很久才付诸行动，做这个的初衷就是不想让自己太安稳，技术这条路不进步就等于后退，必须要逼着自己学习。 项目偏向于技术实践，因此不会做太多的业务堆砌，业务代码还是在公司学习比较好。现在正在做技术的选型与储备，像比较主流的，项目前后端分离、微服务、Springboot、Sp…

在安全攻防战场中，前端代码都是公开的，那么对前端进行加密有意义吗？可能大部分人的回答是，毫无意义，不要自创加密算法，直接用HTTPS吧。但事实上，即使不了解密码学，也应知道是有意义的，因为加密前和解密后的环节，是不受保护的。HTTPS只能保护传输层，此外别无用处。 本文主要列举…

全局路由守卫每次都判断用户是否已经登录，没有登录则跳到登录页。已经登录(已经取得后台返回的用户的权限信息(角色之类的))，则判断当前要跳转的路由，用户是否有权限访问(根据路由名称到全部路由里找到对应的路由，判断用户是否具备路由上标注的权限信息(比如上面的roles: ['adm…