狼行千里吃肉

@RestController@RestController的作用等同于@Controller + @ResponseBody;@Controller在一个类上添加@Controller注解，表明了这个类是一个控制器类。但想要让这个类成为一个处理请求的处理器光有@Controller注解是不够的，他还需要在该类中添加注解@RequestMapping；@RequestMapping注解是用来映射请求的，即指明处理器可以处理哪些URL请求，该注解既可以用在类上，也可以用在方法上；@Resp

第一步：添加Security的依赖： <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 第二步：配置Security信息找到@Configuration注解的配置类，在其基础上添加@Enab

处理异常的方式有3种：①在spring-security.xml配置文件中来处理： <security:http auto-config-”true”use-expressions=”true”> <security:access-denied-handler error-page=”/403.jsp”/> 只能处理403异常 </security:http> ②在web.xml中，针对不同的httpcode，去指定对应.

开发流程如下：①在视图中导入SpringSecurity提供的JSP标签库；②在需要判断权限的HTML代码部分，添加Security对应的标签来进行权限判断： <security:authorise access=”hasAnyRole(‘ROLE_USER’)”> hasAnyRole：是SpringEL表达式中的函数 ROLE_USER：是角色的名称 HTML代码 </security:authorise> ③开启注解

大体思路就2种：自己动手获取、使用security标签库显示；①在自己编写的业务处理方法中获取用户名：SecurityContextHolder.getContext().getAuthentication().getName();②在自己编写的JSP页面中，使用Security提供的JSP动态标签库：<security:authentication property=”principal.username”/>，或者<security:authentication propert

关键源码下面是AbstractRememberMeServices.loginSuccess、rememberMeRequested、onLoginSuccess方法的源码： private String parameter = "remember-me"; public final void loginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulA

注意要想让csrf起作用，必须是POST请求来完成注销的URL，还有就是csrf参数；

开发步骤①导入对应的jar包：Spring-security-core.jar：核心包，任何Spring Security项目都需要此包Spring-security-web.jar：web项目包Spring-security-config.jar：用于解析XML配置文件Spring-security-taglibs.jar：动态标签库，用于jsp页面②在web.xml中注册过滤器，注意filter-name必须大小写完全一致： <filter-name>spr

概念Security的实现原理就是2个：切面编程、过滤器；Securtiy就实现2个功能：认证、授权；其中认证模块负责认证用户的合法性，包括：密码、状态等；而授权模块负责针对不同用户，授予不同的权限；Security常见的15个过滤器SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext，并在SecurityContext给以后的过滤器使用，来为后续filter