项目中Spring Security
我在项目中使用到了Spring Security,记录一下使用的好处以及他的使用方法。
首先Spring Security是分为认证和授权两方面的,授权,我在项目中使用到的是JWT动态生成Token认证。他的整个工作流程是这个样子的。
- 首先我在登录的时候生成JWT令牌返回给用户,用户在后续的所有的HTTP请求中都会携带JWT令牌。
- 在每次的请求他都会进入到安全的过滤链,JwtAuthenticationFilter拦截请求。
- JWT验证,从请求请求头里面提取令牌,验证令牌的签名和过期时间
- 在后续登录的过程中,如果JWT验证通过,那么此时他将会解析我的token里面的用户权限和用户权限,创建Authentication,并且存入到SecurityyContext中
- 授权检查,Spring Security根据我之前配置的授权规则,检查用户是否有权限访问该请求。
- 如果验证和授权通过,则请求继续到达目标控制器
浙公网安备 33010602011771号