一夜之间火爆 GitHub 的好文！！阿里资深架构师整理分享

希望大家能够仔仔细细的品读本文内容，实实在在的掌握到自己的手中，并且能够灵活的运用到实际的工作中去 ，不断强大自身，增加自己的技术深度和宽度，希望能够帮助到大家的学习，也希望能够得到大家的喜欢！！

本文将从目录、主要内容、还有面向读者三部分给大家进行介绍，希望大家能够仔细阅读！！

目录

==

主要内容

====

本文通过 4 部分，14 章的内容由浅入深地介绍了 Spring Security 的方方面面。

第 1 部分主要讲解 Spring Security 的基本配置;

第 1 章初识 Spring Security，Spring Security 的前身是 Acegi Security，在被收纳为 Spring 子项目后正式更名为 Spring Security。

第 2 章表单认证，在第 1 章中，我们初步引入了 SpringSecurity，并使用其默认生效的 HTTP 基本认证来保护 URL 资源，本章我们使用表单认证来保护 URL 资源。

第 3 章认证与授权，在第 2 章中，我们沿用了 Spring Security 默认的安全机制：仅有一个用户，仅有一种角色。在实际开发中，这自然是无法满足需求的。本章将更加深入地对 Spring Security 迚行配置，且初步使用授权机制。

第 2 部分剖析 Web 项目可能遇到的安全问题，并讲解如何使用 SpringSecurity 进行有效防护;

第 4 章实现图形验证码，在验证用户名和密码前，引入辅助验证可有效防范暴力试错，图形验证码就是简单且行有效的一种辅助验证方式。下面将使用过滤器和自定义认证两种方式实现图形验证码功能。

第 5 章自动登录和注销登录，关于网站的安全设计，通常是有一些矛盾点的。我们在作为某些系统开发者的同时，也在充当着另外一些系统的用户，一些感同身受的东西可以带来很多思考。

第 6 章会话管理，只需在两个浏览器中用同一个账号登录就会发现，到目前为止，系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上，Spring Security 已经为我们提供了完善的会话管理功能，包括会话固定攻击、会话超时检测以及会话并发控制。

第 7 章密码加密，密码安全是互联网安全的一个缩影，我们在享受互联网服务的同时，也应当对它投入更多的关注。

第 8 章跨域与 CORS，跨域是一种浏览器同源安全策略，即浏览器单方面限制脚本的跨域访问。

第 9 章跨域请求伪造的防护，CSRF 的全称是（Cross Site Request Forgery），可译为跨域请求伪造，是一种利用用户带登录态的 cookie 迚行安全操作的攻击方式。CSRF 实际上并不难防，但常常被系统开发者忽略，从而埋下巨大的安全隐患。

第 10 章单点登录与 CAS，单点登录（Single Sign On,SSO）是指在多个应用系统中，只需登录一次，即可同时以登录态共享企业所有相关又彼此独立的系统的功能。对于旗下拥有众多系统的企业来说，单点登录不仅降低了用户的登录成本，统一了不同系统间的账号体系，还减少了各个系统在用户设计上付出的精力。

![阿里资深架构师整理分享的 SpringSecurity 实战文档](https://

【一线大厂Java面试题解析+核心总结学习笔记+最新架构讲解视频+实战项目源码讲义】
浏览器打开：qq.cn.hn/FTf 免费领取

img-blog.csdnimg.cn/img_convert/cfd41875b10993bb395c1bdab5b36383.png)