Spring Security

目前登录接口没有做任何限制，代表任何人都可以编写脚本的方式暴力破解，如果写一个循环一直尝试访问登录接口，那么服务器就一直会收到请求，会给服务器造成很大的压力，本篇文章就来给登录接口添加一个验证码校验。

最后经过两个简单的配置实现了自定义的token内容与解析器，这也正是框架灵活与支持高度自定义的体现，实际上这些操作的代码部分都比较少，多的是理论部分，结合文档与源码能够更好的理解框架。

在第三章的时候就有提到过响应信息的问题，按照oauth协议，异常信息放在响应头中，响应头的key是WWW-Authenticate，通常来说返回一个JSON字符串可以让开发者更方便的对响应做出一些处理

设备码流程一般使用在不便输入的设备上，设备提供一个链接给用户验证，用户在其它设备的浏览器中认证；其它的三方服务需要接入时就按各自特点使用不同的授权方式。

至此oauth2.1的所有流程基本都测试了一遍，在以后的文章会有设备码流程、登录添加图形验证码、自定义token生成和解析、自定义响应体和去除权限前缀等内容。

本篇文章从0到1搭建了一个简单认证服务，解释了认证服务的各项配置用意，如何设置自己的登录页和授权确认页，如何让认证服务解析请求时携带的token。如果文章中有遗漏或错误的地方请各位读者在评论区指出。

经过近些年网络和设备的不断发展，之前的oauth2.0发布的授权协议标准已经远远不能满足现在的场景和需求，根据其安全最佳实践，在oauth2.0的基础上移除了一些不安全的授权方式，并且对扩展协议整合。