写点什么

一夜之间火爆 GitHub 的好文!!阿里资深架构师整理分享,疯狂膜拜

用户头像
极客good
关注
发布于: 刚刚

第 3 章认证与授权,在第 2 章中,我们沿用了 Spring Security 默认的安全机制:仅有一个用户,仅有一种角色。在实际开发中,这自然是无法满足需求的。本章将更加深入地对 Spring Security 迚行配置,且初步使用授权机制。



第 2 部分剖析 Web 项目可能遇到的安全问题,并讲解如何使用 SpringSecurity 进行有效防护;


第 4 章实现图形验证码,在验证用户名和密码前,引入辅助验证可有效防范暴力试错,图形验证码就是简单且行有效的一种辅助验证方式。下面将使用过滤器和自定义认证两种方式实现图形验证码功能。



第 5 章自动登录和注销登录,关于网站的安全设计,通常是有一些矛盾点的。我们在作为某些系统开发者的同时,也在充当着另外一些系统的用户,一些感同身受的东西可以带来很多思考。



第 6 章会话管理,只需在两个浏览器中用同一个账号登录就会发现,到目前为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security 已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。



第 7 章密码加密,密码安全是互联网安全的一个缩影,我们在享受互联网服务的同时,也应当对它投入更多的关注。



第 8 章跨域与 CORS,跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。



第 9 章跨域请求伪造的防护,CSRF 的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录态的 cookie 迚行安全操作的攻击方式。CSRF 实际上并不难防,但常常被系统开发者忽略,从而埋下巨大的安全隐患。



第 10 章单点登录与 CAS,单点登录(Single Sign On,SSO)是指在多个应用系统中,只需登录一次,即可同时以登录态共享企业所有相关又彼此独立的系统的功能。对于旗下拥有众多系统的企业来说,单点登录不仅降低了用户的登录成本,统一了不同系统间的账号体系,还减少了各个系统在用户设计上付出的精力。



第 11 章 HTTP 认证,除系统内维护的用户名和密码认证技术外,SpringSecurity 还支持 HTTP 层面的认证技术,包括 HTTP 基本认证和 HTTP 摘要认证两种。



第 12 章 @EnableWebSecurity 与过滤器链机制,为什么加上 @EnableWebSecurity 注解就可以让 Spring Security 起作用?Spring Security 又是通过什么方式来拦截请求并执行认证的?下面就带着这两个问题,深入源码一探究竟。



第 3 部分详细介绍 OAuth,并使用 Spring Social 整合 Spring Security,实现 QQ 快捷登录;


第 13 章用 Spring Social 实现 OAuth 对接,OAuth 解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据以及基本信息的难题。



第 4 部分重点介绍 Spring Security OAuth 框架,剖析 Spring Security OAuth 的部分核心源码。


第 14 章用 Spring Security OAuth 实现 OAuth 对接,Spring Security OAuth 是一个专注于 OAuth 认证的框架,它完整覆盖了客户端、资源服务和认证服务三个模块。这三个模块分别在 Spring Security 5.0、5.1 和 5.3 三个版本中被集成,原有的独立项目则进


【一线大厂Java面试题解析+核心总结学习笔记+最新架构讲解视频+实战项目源码讲义】
浏览器打开:qq.cn.hn/FTf 免费领取
复制代码


入维护状态。



这份【SpringSecurity 实战】共有 319 页,需要完整版的朋友,转发+评论,关注我私信回复“666”即可免费获取!



用户头像

极客good

关注

还未添加个人签名 2021.03.18 加入

还未添加个人简介

评论

发布
暂无评论
一夜之间火爆GitHub的好文!!阿里资深架构师整理分享,疯狂膜拜