yangyang - FullStack Yang

Spring Security 6.x 微信公众平台OAuth2授权实战

上一篇介绍了OAuth2协议的基本原理，以及Spring Security框架中自带的OAuth2客户端GitHub的实现细节，本篇以微信公众号网页授权登录为目的，介绍如何在原框架基础上定制开发OAuth2客户端。一、微信公众平台OAuth2服务先简单地介绍一下微信公众平台网页授权主要流程，具体可以参考微信公众平台的官方文档（https://developers.weixin.qq.com/doc/offiaccount/OA_Web_Apps/Wechat_webpage_authorization.html） 1.1 请求code其服务端点为：

Spring Security 6.x OAuth2登录认证源码分析

May 26, 2024 dev spring Spring Security

上一篇介绍了Spring Security框架中身份认证的架构设计，本篇就OAuth2客户端登录认证的实现源码做一些分析。一、OAuth2协议简介OAuth2协议，英文全称Open Authorization 2.0，即开放授权协议，它本身解决的问题，就是互联网中的安全信任问题，当第三方需要访问本系统内受保护资源的时候，如何对其授权以实现合法安全的访问。举个例子，可能在物理世界里面并不存在，只是为方便说明OAuth2的工作原理。假设有某个大型商场提供了一种无卡消费的服务，用户只要在商场的账户中充值，就可以在商场中任何一家店铺进行无卡消费，此时商家作为第三方，需要访问你的无卡账户，对于用户来说，无卡账户就是一种受保护资源，它并不能随意进行访问，

Spring Security 6.x 图解身份认证的架构设计

May 15, 2024 Spring Security spring dev

一、基本概念“Authentication(认证)”是spring security框架中最重要的功能之一，所谓认证，就是对当前访问系统的用户给予一个合法的身份标识，用户只有通过认证后才可以进入系统，在物理世界中，有点类似“拿工卡刷门禁”的场景。身份认证在市面上有很多种的实现协议，最常见的就是用户名密码的认证方式，另外还有OAuth2.0，CAS（Central Authentication Service），SAML等，其中OAuth2.0是一种我们比较熟悉的认证协议，例如微信，

Spring Security 6.x 过滤器链SecurityFilterChain是如何工作的

May 12, 2024 dev Spring Security spring

上一篇主要介绍了Spring Secuirty中的过滤器链SecurityFilterChain是如何配置的，那么在配置完成之后，SecurityFilterChain是如何在应用程序中调用各个Filter，从而起到安全防护的作用，本文主要围绕SecurityFilterChain的工作原理做详细的介绍。一、Filter背景知识因为Spring Security底层依赖Servlet的过滤器技术，所以先简单地回顾一下相关背景知识。过滤器Filter是Servlet的标准组件，自Servlet 2.3版本引入，主要作用是在Servlet实例接受到请求之前，以及返回响应之后，这两个方向上进行动态拦截，这样就可以与Servlet主业务逻辑解耦，从而实现灵活性和可扩展性，利用这个特性可以实现很多功能，例如身份认证，统一编码，数据加密解密，审计日志等等。 Filter接口定义了3个方法：

Spring Security 6.x 一文快速搞懂配置原理

Apr 20, 2024 dev Spring Security Java

一、基本概念Spring Security框架看似比较复杂，但说到底，框架中的各种安全功能，基本上也就是一个个Filter(javax.servlet.Filter)组成的所谓“过滤器链”实现的，这些Filter以职责链的设计模式组织起来，环环相扣，不过在刚接触Spring Security框架时不必盯着每个Filter着重去研究，我们首要的目的是学会如何对Spring Security进行配置，很多人，特别是新手，在看过官方文档中配置示例代码（如下所示）之后，在没有足够背景知识的情况下，都会对这个http.