Spring Security

标签：open   config   做什么   定义   请求   api   设置   注解   标识   

• Spring MVC的安全认证
  • 先创建一个继承自WebSecurityConfigurerAdapter的配置类，标识为@Configuration和@EnableWebSecurity注解，进行Spring MVC安全验证设置，默认不做什么自定义配置，即可以在访问接口等资源时返回一个登陆页让输入账号密码（启动时会生成并在日志中输出一个账号密码），也可以自己设置页面和账号密码。
• Restful API的安全认证
  • 通常在前后端分离的情况下，会有一个单独的登陆API甚至登陆Server如Open Auth Server或OpenID Server，由于验证账号密码和返回token，然后在访问业务API时带上token和请求参数
    • 先创建一个继承自WebSecurityConfigurerAdapter的配置类，标识为@Configuration、@EnableWebSecurity和@EnableGlobalMethodSecurity注解，进行基于Method的Restful API安全验证设置
    • 再创建一个获取token的登陆、登出的API，如POST /token
    • 最后创建一个自定义的Filter如AuthenticationTokenFilter，继承自OncePerRequestFilter，重写doFilterInternal方法，从request的头部获取"Authorization"和"Bearer "字段），然后进行基于token的身份验证（即根据token获取用户信息），最后把用户认证信息（如UsernamePasswordAuthenticationToken）放到SpringContextHolder中。

Spring Security

标签：open   config   做什么   定义   请求   api   设置   注解   标识   

原文地址：https://www.cnblogs.com/wyp1988/p/10354962.html