Spring Security 是一个强大且高度可定制的安全框架，致力于为 Java 应用提供身份认证和授权。

本篇文章将会通过 5 个部分内容由浅入深地介绍了 Spring Security 的方方面面。

第 1 部分主要讲解 Spring Security 的基本配置。

第 2 部分剖析 Web 项目可能遇到的安全问题，并讲解如何使用 SpringSecurity 进行有效防护。

第 3 部分详细介绍 OAuth，并使用 Spring Social 整合 Spring Security， 实现 QQ 快捷登录。

第 4 部分重点介绍 Spring Security OAuth 框架，剖析 Spring Security OAuth 的部分核心源码。.

第 5 部分 Spring Security OAuth2.0 认证授权课程笔记！（实战）

先上源码，源码已经为大家整理完毕！

小编已经将这四部分整理成册，受限于文章篇幅问题，小编只能为大家展示部分内容，完整版的免费获取方式在文末！

第一部分：Spring Security 基本配置

第 1 章初识 Spring Security

第 2 章表单认证

在第 1 章中，我们初步引入了 Spring Security，并使用其默认生效的 HTTP 基本认证来保护 URL 资源，本章我们使用表单认证来保护 URL 资源。

第 3 章认证与授权

在第 2 章中，我们沿用了 Spring Security 默认的安全机制：仅有一个用户，仅有一种角色。在实际开发中，这自然是无法满足需求的。本章将更加深入地对 Spring Security 进行配置，且初步 使用授权机制。

第二部分：SpringSecurity 防护

第 4 章实现图形验证码

在验证用户名和密码之前，引入辅助验证可有效防范暴力试错，图形验证码就是简单且行之有效的一种辅助验证方式。下面将使用过滤器和自定义认证两种方式实现图形验证码功能。

第 5 章自动登录和注销登录

关于网站的安全设计，通常是有一些矛盾点的。我们在作为某些系统开发者的同时，也在充当着另外一些系统的用户，一些感同身受的东西可以带来很多思考。

第 6 章会话管理

只需在两个浏览器中用同一个账号登录就会发现，到目前为止，系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上，Spring Security 已经为我们提供了完善的会话管理功能，包括会话固定攻击、会话超时检测以及会话并发控制。

第 7 章密码加密

密码安全是互联网安全的一个缩影，我们在享受互联网服务的同时，也应当对它投入更多的关注。

第 8 章跨域与 CORS

跨域是一种浏览器同源安全策略，即浏览器单方面限制脚本的跨域访问。

第 9 章跨域请求伪造的防护

CSRF 的全称是(Cross Site Request Forgery) ，可译为跨域请求伪造，是一种利用用户带登录态的 cookie 进行安全操作的攻击方式。CSRF 实际上并不难防，但常常被系统开发者忽略，从而埋下巨大的安全隐患。

第 10 章单点登录与 CAS

单点登录( Single Sign On, SSO)是指在多个应用系统中，只需登录一次，即可同时以登录态共享企业所有相关又彼此独立的系统的功能。对于旗下拥有众多系统的企业来说，单点登录不仅降低了用户的登录成本，统一了不同系统间的账号体系，还减少了各个系统在用户设计上付出的精力。

第 11 章 HTTP 认证

除系统内维护的用户名和密码认证技术外，Spring Security 还支持 HTTP 层面的认证技术，包括 HTTP 基本认证和 HTTP 摘要认证两种。

第 12 章 @EnableWebSecurity 与过滤器链机制

为什么加上 @EnableWebSecurity 注解就可以让 Spring Security 起作用? Spring Security 又是通过什么方式来拦截请求并执行认证的?下面就带着这两个问题，深入源码一探究竟。

第三部分：Spring Social 整合 Spring Security

第 13 章用 Spring Social 实现 OAuth 对接

OAuth 解决了在用户不提供密码给第三方应用的情况下，让第三方应用有权获取用户数据以及基本信息的难题。

第四部分：剖析 Spring Security OAuth 部分核心源码

第 14 章用 Spring Security OAuth 实现 OAuth 对接

Spring Security OAuth 是一个专注于 OAuth 认证的框架，它完整覆盖了客户端、资源服务和认证服务三个模块。这三个模块分别在 Spring Security5.0、5.1 和 5.3 三个版本中被集成，原有的独立项目则进入维护状态。.

Spring Security 5.0 中集成了 OAuth 的客户端模块，该模块包含以下三个子模块。

(1)spring-security- oauth2-core: OAuth 授权框架和 OIDC 的核心数据结构及接口，被 Client、Resource Server 和 Authorization Server 所依赖。

(2) spring- security-oauth2-jose:支持 JIOSE 协议组，具体包括以下内容。

• JSON Web Token (JWT);

• JSON Web Signature (JWS);

• JSON Web Encryption (JWE);

• JSON Web Key (JWK)。

(3) spring-security-oauth2-client:是 Spring Security 支持 OAuth 和 OIDC 的客户端功能实现包。

Spring Security OAuth2.0 认证授权课程笔记

总结

这 5 套笔记按照 What (背景知识)、How (实战) Why (源码分析)原则，抽丝剥茧地讲解 Spring Security 的典型应用场景，提供-条由浅入深的 SpringSecurity 学习路线，并分析部分核心源码，帮助读者快速掌握 SpringSecurity 的相关知识。

最后的最后就是大家关心的如何获取这份笔记了！100 免费获取方式：转发这篇文章+关注我，然后加小助理 VX：wjj2632646 免费获取！