gorgor在码农

1.0、SSO概念 单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO 并不能算是一种架构，只能说是一个解决方案。SSO核心意义就一句话：一处登录，处处登录；一处注销，处处注销。就是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统，即用户只需要记住一组用户名和密码就可以登录所有有权限的系统。 1.1、Cookie单点登录 单点登录的实现方案，一般就包含以下三种： Cookies Session同步 Session同步 目前的大

Spring Security已经为我们提供了完善的会话管理功能，包括会话固定攻击，会话超时检测以及会话并发控制。会话（session）就是无状态的HTTP实现用户状态可维持的一种解决方案。当用户首次访问系统时，系统会该用户生成一个sessionId，并添加到cookie中。在该用户的会话期内，每个请求都自动携带该cookie，因此系统可以很轻易地识别出这个来自那个用户的请求。 一：会话固定攻击 尽管cookie非常好用，但有时用户会在浏览器禁用它。为了解决这个问题，有些服务器还支持用URL重写的方式来实现

自动登录时将用户的登录信息保存在用户浏览器的cookie中，当用户下次访问时，自动实现校验并建立登录态的一种机制。 Spring Security提供了两种非常好的令牌： 用散列算法加密用户必要的登录信息并生成令牌。 数据库等持久性数据存储机制用的持久化令牌。 一：散列加密方案 首先在静态页面加上 <div> <p><input name="remember-me" type="checkbox" value="true">记住我</p> </di

代码gitee地址：https://gitee.com/original-intention/spring-security.git 一：使用过滤器实现图形验证码 1.使用开源的验证码组件kaptcha <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId> <version>2.3.2</ver

一：基于内存的多用户认证授权： @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin

<--spring security依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 加入依赖就可以进行HTTP基本认证，但绝大多数Web应用都不会选择这种认证方式，除了安全性差，无法携带cooki