目的说明解决不同客户端使用token,各个客户端的登录状态必须保持一致，退出状态实现一致。同上述问题类似如何解决不同租户相同用户名的人员的登录状态问题。默认的DefaultTokenServices创

这是《冷饭新炒》系列的第五篇文章。 本文会翻炒一个用以产生访问令牌的开源标准JWT，介绍JWT的规范、底层实现原理、基本使用和应用场景。 从这段文字中可以提取到JWT的规范文件RFC 7519，里面有详细地介绍JWT的基本概念，Claims的含义、布局和算法实现等，下面逐个展开…

上面的CacheUtil是封装的guava cache的实现，模拟发送验证码存储到内存中，在这个地方取出来做对比，如果对比失败就抛异常，对比成功就返回一个新的token，这个token中是包含了用户具有的权限的。 filter将手机号和验证码交给provider做验证，经过pr…

JWT保存在客户端，在分布式环境下不需要做额外工作。而session因为保存在服务端，分布式环境下需要实现多机数据共享 JWT的payload使用的是base64编码的，因此在JWT中不能存储敏感数据。而session的信息是存在服务端的，相对来说更安全 经过编码之后JWT将非…

在介绍具体方案之前，首先先介绍一下常见的加密算法。加密算法可以分为三大类： 加密和解密使用相同的密钥。对称加密算法加密解密速度快，但安全性较差 加密和解密使用不同的密钥，也称为公私钥加密。非对称加密的缺点是加解密速度要远远慢于对称加密，在某些极端情况下，甚至能比非对称加密慢上1…

Spring Security功能多，组件抽象程度高，配置方式多样，导致了Spring Security强大且复杂的特性。Spring Security的学习成本几乎是Spring家族中最高的，Spring Security的精良设计值得我们学习，但是结合实际复杂的业务场景，我…

本文的完整示例代码，见github仓库。小q只在文中介绍最关键的代码块。 关于jwt是什么，这里就不再啰嗦了。总体来讲，它有Header、Payload、Signature三个部分，每一部分，都有一些细分的属性，这个原理扫一眼就可以，对我们的使用没有实质性的帮助。 使用jwt可…

1. 权限管理相关概念 权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分，主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制，其授权模型为“用户-角色-权限”，简明的说，一个用户拥有多个角色，一个角色拥有多个权限。其中， 2）. 操作权限，控制你可以…