一夜之间火爆 GitHub 的好文！！阿里资深架构师整理分享，疯狂膜拜

第 3 章认证与授权，在第 2 章中，我们沿用了 Spring Security 默认的安全机制：仅有一个用户，仅有一种角色。在实际开发中，这自然是无法满足需求的。本章将更加深入地对 Spring Security 迚行配置，且初步使用授权机制。

第 2 部分剖析 Web 项目可能遇到的安全问题，并讲解如何使用 SpringSecurity 进行有效防护;

第 4 章实现图形验证码，在验证用户名和密码前，引入辅助验证可有效防范暴力试错，图形验证码就是简单且行有效的一种辅助验证方式。下面将使用过滤器和自定义认证两种方式实现图形验证码功能。

第 5 章自动登录和注销登录，关于网站的安全设计，通常是有一些矛盾点的。我们在作为某些系统开发者的同时，也在充当着另外一些系统的用户，一些感同身受的东西可以带来很多思考。

第 6 章会话管理，只需在两个浏览器中用同一个账号登录就会发现，到目前为止，系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上，Spring Security 已经为我们提供了完善的会话管理功能，包括会话固定攻击、会话超时检测以及会话并发控制。

第 7 章密码加密，密码安全是互联网安全的一个缩影，我们在享受互联网服务的同时，也应当对它投入更多的关注。

第 8 章跨域与 CORS，跨域是一种浏览器同源安全策略，即浏览器单方面限制脚本的跨域访问。

第 9 章跨域请求伪造的防护，CSRF 的全称是（Cross Site Request Forgery），可译为跨域请求伪造，是一种利用用户带登录态的 cookie 迚行安全操作的攻击方式。CSRF 实际上并不难防，但常常被系统开发者忽略，从而埋下巨大的安全隐患。

第 10 章单点登录与 CAS，单点登录（Single Sign On,SSO）是指在多个应用系统中，只需登录一次，即可同时以登录态共享企业所有相关又彼此独立的系统的功能。对于旗下拥有众多系统的企业来说，单点登录不仅降低了用户的登录成本，统一了不同系统间的账号体系，还减少了各个系统在用户设计上付出的精力。

第 11 章 HTTP 认证，除系统内维护的用户名和密码认证技术外，SpringSecurity 还支持 HTTP 层面的认证技术，包括 HTTP 基本认证和 HTTP 摘要认证两种。

第 12 章 @EnableWebSecurity 与过滤器链机制，为什么加上 @EnableWebSecurity 注解就可以让 Spring Security 起作用？Spring Security 又是通过什么方式来拦截请求并执行认证的？下面就带着这两个问题，深入源码一探究竟。

第 3 部分详细介绍 OAuth，并使用 Spring Social 整合 Spring Security，实现 QQ 快捷登录;

第 13 章用 Spring Social 实现 OAuth 对接，OAuth 解决了在用户不提供密码给第三方应用的情况下，让第三方应用有权获取用户数据以及基本信息的难题。

第 4 部分重点介绍 Spring Security OAuth 框架，剖析 Spring Security OAuth 的部分核心源码。

第 14 章用 Spring Security OAuth 实现 OAuth 对接，Spring Security OAuth 是一个专注于 OAuth 认证的框架，它完整覆盖了客户端、资源服务和认证服务三个模块。这三个模块分别在 Spring Security 5.0、5.1 和 5.3 三个版本中被集成，原有的独立项目则进

【一线大厂Java面试题解析+核心总结学习笔记+最新架构讲解视频+实战项目源码讲义】
浏览器打开：qq.cn.hn/FTf 免费领取

入维护状态。

这份【SpringSecurity 实战】共有 319 页，需要完整版的朋友，转发+评论，关注我私信回复“666”即可免费获取！