本文适合： 对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学，对SpringSecurity有兴趣的也可以当作你们的入门教程，示例代码中也有很多注释。

权限验证在我们系统中是一个与业务逻辑无关但是又与业务息息相关的一个功能。 设想我们开发了一款为中小型企业定制的会员系统。这款系统可以为企业A、企业B等多种企业提供服务。数据库中的表结构往往是这样的(以下只是一个demo，实际情况中字段一定会更多、更复杂): 乍一看，就这样一条简…

我们在做用户中心时，对于登录用户签发其对应的token，对token设置他的固定有效期时间。可是我们通常会遇到一个这样的问题：在有效期内用户携带token访问没问题，当过了有效期后token失效，用户需要重新登录获取新的token。 想象以下，假如生产环境中我把token时间设…

单点登录( Single Sign On ，简称 SSO），是目前比较流行的企业业务整合的解决方案之一，用于多个应用系统间，用户只需要登录一次就可以访问所有相互信任的应用系统。 限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互，要求协议，端口和主机都相同。 用于…

上周写了一个 适合初学者入门 Spring Security With JWT 的 Demo 。Demo 地址：https://github.com/Snailclimb/spring-security-jwt-guide 。很多人可能对权限认证领域一些常见的概念都不是特别了解…

Spring Security 是Spring 全家桶中非常强大的一个用来做身份验证以及权限控制的框架，我们可以轻松地扩展它来满足我们当前系统安全性这方面的需求。 但是 Spring Security 相比于其他一些技术比如 JPA 来说更难上手，很多人初学的时候很难通过看视频…

关于session和token的使用，网上争议一直很大。 总的来说争议在这里： session是空间换时间，而token是时间换空间。session占用空间，但是可以管理过期时间，token管理部了过期时间，但是不占用空间. sessionId失效问题和token内包含。 se…

为用户提供授权以允许用户操作非公开资源，有很多种方式。比如使用 token、session、cookie，还有允许第三方登录授权的 OAuth 2.0. 为了理解这些技术的机制和它们之间的关系，本文就来一一使用这些方案实现一个前端通过后端验证授权来访问后端服务的应用。 我们将用…

在Web应用中，HTTP请求是无状态的。即：用户第一次发起请求，与服务器建立连接并登录成功后，为了避免每次打开一个页面都需要登录一下，就出现了cookie，Session。 Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。C…