一 . 前言 这一篇我们只对流程进行一个普及 , 后面陆陆续续来分析一下其中的实现方式. Token 是认证过程中最常见的一个概念 , 它没有特定的规范 , 它仅仅是一个有着不同协议特征的钥匙 . 通常而言 , 他是有一定规律的无意义的字符串 iss：Issuer Identi…

JWT转换器前面的例子中，都是在授权服务配置类中配置了一个很简单的jwt转换器，如下：可以看到我们只用setSigningKey方法配置了一个秘钥，这里使用的是简单的对称加密的方式来加密jwt内容，同

假设小明开发了一个A网站，需要支持微信登陆和淘宝账号登陆。如果你是微信或者淘宝开发人员，你会怎么设计这个功能

OAuth2密码模式废了，详细参见OAuth2 安全指南相关的章节。以后新的OAuth2实现基本不太会可能积极去适配这个模式了。诸如Auth0、JIRA等知名产品都已经在产品中移除了该模式。

token存cookie还是localStorage，存哪个更安全、哪个能实现需求，下面就该问题展开讨论。 XSS、CSRF角度做分析；未来的完美方案SameParty。我们的做法。

大家好，我是不才陈某~ 认证、授权是实战项目中必不可少的部分，而Spring Security则将作为首选安全组件，因此陈某新开了 《Spring Security 进阶》 这个专栏，写一写从单体架构

小二是新来的实习生，作为技术 leader，我还是很负责任的，有什么锅都想甩给他，啊，不，一不小心怎么把心里话全说出来了呢？重来！ 小二是新来的实习生，作为技术 leader，我还是很负责任的，有什么

讲述了认证与鉴权的概念。理清了三种鉴权凭证的颁发方式，分别是基于单机的session、需要存储的token与无需存储的JWT。

去年底转转启动建设统一权限管理系统，到今天公司大部分业务系统都已经用上了。本系列将会分为三部分来分享下转转新权限系统的设计与实现。今天先分享第一部分设计篇，后续还将分享后端架构和前端架构部分。