Spring Security 为 Java 应用程序提供了一套全面的安全功能,涵盖身份验证、授权、会话管理以及针对CSRF(跨站点请求伪造)等常见安全威胁的防护。Spring Security 框架具有高度可定制性,允许开发人员根据其应用程序需求来管理安全配置。它提供了一个灵活的架构,支持各种身份验证机制,如基本身份验证、JWT 和 OAuth。
More »[译]OAuth2 with Spring 第2部分:授权服务器入门
2024-01-23|今天做了什么
今天做了什么:
重构 foodie-cloud 项目,修改模块名称、表名及字段名。
修改 spring-security-oauth2-legacy-examples ,测试资源服务器通过 jwt、jwk、远程三种方式获取用户信息;测试 sso 单点登录(进行中)。
More »
2024-01-09|单点登录
今天做了什么:
- 使用 renovate 监控第三方依赖更新 ,renovate 貌似需要付费,放弃。
- spring-security-oauth2-samples 示例工程重命名模块和包名,代码见 spring-security-oauth2-boot
- 实现单点登录并测试
实现单点登录并测试
实现单点登录(Single Sign-On,SSO)可以采用多种思路和技术。下面是几种常见的实现思路:
More »2023-12-28|今天做了什么
今天做了什么:
重构微服务项目中使用 spring-security-oauth2 搭建 OAuth2 认证服务和资源服务的代码,减少其他模块对此的耦合度。计划将 spring-security-oauth2 迁移到 spring-security-oauth2-authorization-server 上,即使用 OAuth2.1 授权和认证。Spring Authorization Server 相关文档,可以参考 https://blog.51cto.com/u_15268610/category2。
More »
2023-12-27|今天做了什么
今天做了什么:
微服务项目中认证服务器配置授权码模式,并测试通过
扩展 RedisAuthorizationCodeServices ,支持设置过期时间。
- 注意:OAuth2Authentication 无法从 json 反序列化,故无法使用 JSON 反序列化类,只能使用 JDK 反序列化类。
扩展 BearerTokenExtractor,支持从 request 请求的 header 中读取 access_token
More »
2023-12-21|Spring Security对OAuth2的支持及实现方式
Today I Learned. 今天分享内容:Spring Security 对 OAuth2 的支持
More »2023-12-19|Spring Security OAuth2配置JWT、Github Actions配置代码扫描
Today I Learned. 今天分享内容:Spring Security OAuth2 配置JWT、Github Actions配置代码扫描,另外,修改了 spring-security-oauth2-legacy 仓库,支持授权认证中心的多种配置方式(jdbc、内存、redis、jwt)、资源中心的多种配置方式(jwt、jdbc、redis、remote、jwk-set-uri)。
More »2023-12-18|使用Spring Security实现OAuth2授权和认证
[译]Spring Security 面试问题
本面试准备指南将讨论一些常见的 Spring Security 面试问题。无论您是准备面试还是只是想增强对 Spring Security 的了解,这些问题都将帮助您理解关键概念并指导您设计常见安全问题的解决方案。
1. Spring Security 的核心特性是什么?
Spring Security 提供的两个最突出的功能是身份验证和授权。这些功能在确保应用程序的安全性方面发挥着至关重要的作用。然而,Spring Security 超越了身份验证和授权,还提供了额外的功能来防止漏洞利用并与其他框架集成。
More »