jwt

现在“打工人、打工魂、打工都是人上人......”，好像被洗脑了一样，我们都一样都是搬砖人，那么，搬砖是否就不值得一提呢？搬砖是不是就不会.......哈哈停止你的想法，该学习还是要学习，该跳槽还是要跳槽，公司在不断地更新，那么， 作为一名程序员，是不是更要更新和升级自己的技术栈，只有系统地学习新的知识，才不会被淘汰，那么你对SpringSecurity了解多少呢？ SpringSecurity是一个强大且高度可定制的安全框架，致力于为Java应用提供身份认证和授权。 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean，充分利用了 Spring IoC（Inversion of Control 控制反转），DI（Dependency Injection 依赖注入）和 AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。 下文内容主要是写这份《SpringSecurity成长笔记》的主要提纲内容，提纲内容包括学习目录+实战文档+面试礼包，需要下载完成版的朋友，可以文末扫码即可~ SpringSecurity成长笔记一 学习目录展示 源码分析 记住我功能原理分析 授权准备工作 动态展示菜单

SpringSecurity核心配置 /** * 对SpringSecurity的配置的扩展，支持自定义白名单资源路径和查询用户逻辑 */ public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired(required = false) private DynamicSecurityService dynamicSecurityService; @Override protected void configure(HttpSecurity httpSecurity) throws Exception { ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity .authorizeRequests(); //不需要保护的资源路径允许访问 for (String url : ignoreUrlsConfig().getUrls()) { registry.antMatchers(url).permitAll(); } //允许跨域请求的OPTIONS请求 registry.antMatchers(HttpMethod.OPTIONS)

小Hub领读： 讲解视频也同步发布啦，记得去看哈，一键三连哇。 视频讲解： https://www.bilibili.com/video/bv1SD4y1o7cN 这系统，一定要学会用户-服务认证，服务-服务鉴权的那一套，这才算学会。 简介 Cloud-Platform是国内首个基于Spring Cloud微服务化开发平台，具有统一授权、认证后台管理系统，其中包含具备用户管理、资源权限管理、网关API 管理等多个模块，支持多业务系统并行开发，可以作为后端服务的开发脚手架。代码简洁，架构清晰，适合学习和直接项目中使用。 核心技术采用Spring Boot 2.1.2以及Spring Cloud (Greenwich.RELEASE) 相关核心组件，采用Nacos注册和配置中心，集成流量卫兵Sentinel，前端采用vue-element-admin组件，Elastic Search自行集成。 B站视频讲解： ps：注意本文讲解是基于Cloud-Platform v2.5版本，不是最新版本！ 技术选型 前端：vue-element-admin 后端：springcloud（eureka、gateway、admin、sidecar、Hystrix、feign、ribbon、zipkin）、tk+mybatis、lucene、jwt、rest 项目结构 ace-security ace

现在国内前后端很多公司都在使用前后端分离的开发方式，虽然也有很多人并不赞同前后端分离，比如以下这篇博客就很有意思： https://www.aliyun.com/jiaocheng/650661.html 我们从技术角度来看的话： http://blog.jobbole.com/111624/ http://www.360doc.com/content/18/0511/06/36490684_752894279.shtml 摘要： 为什么选择前后端分离 在以前传统的网站开发中，前端一般扮演的只是切图的工作，只是简单地将UI设计师提供的原型图实现成静态的HTML页面，而具体的页面交互逻辑，比如与后台的数据交互工作等，可能都是由后台的开发人员来实现的，或者是前端是紧紧的耦合后台。比如，以前淘宝的Web基本上都是基于MVC框架webx，架构决定了前端只能依赖后端。所以他们的开发模式依然是，前端写好静态demo，后端翻译成VM模版，这种模式的问题就不说了，被吐槽了很久。 而且更有可能后台人员直接兼顾前端的工作，一边实现API接口，一边开发页面，两者互相切换着做，而且根据不同的url动态拼接页面，这也导致后台的开发压力大大增加。前后端工作分配不均。不仅仅开发效率慢，而且代码难以维护。而前后端分离的话，则可以很好的解决前后端分工不均的问题，将更多的交互逻辑分配给前端来处理

基于springboot cloud构建的一个商城项目，包括前端，后端和h5应用，小程序，作为zscat应用实践的模板项目。基于SpringBoot2.x、SpringCloud和SpringCloudAlibaba并采用前后端分离的企业级微服务敏捷开发系统架构。并引入组件化的思想实现高内聚低耦合，[ 微信 + 支付宝 + 百度 + 头条 ] 小程序 + APP + 公众号 + PC + H5 项目代码简洁注释丰富上手容易，适合学习和企业中使用。真正实现了基于RBAC、jwt和oauth2的无状态统一权限认证的解决方案，面向互联网设计同时适合B端和C端用户，支持CI/CD多环境部署，积分商城，分销商城并提供应用管理方便第三方系统接入；同时还集合各种微服务治理功能和监控功能。模块包括:企业级的认证系统、开发平台、应用监控、慢sql监控、统一日志、单点登录、Redis分布式高速缓存、配置中心、分布式任务调度、接口文档、代码生成等等 1.项目技术 前后端分离的企业级微服务架构 基于Spring Boot 2.0.X、Spring Cloud Finchley和Spring Cloud Alibaba 深度定制Spring Security真正实现了基于RBAC、jwt和oauth2的无状态统一权限认证的解决方案 提供应用管理，方便第三方系统接入 引入组件化的思想实现高内聚低耦合

https://www.cnblogs.com/WQLBlog/archive/2020/02/24/12356853.html 区别 OpenId: Authentication :认证 Oauth: Aurhorize :授权 输入账号密码，QQ确认输入了正确的账号密码可以登录 --->认证 下面需要勾选的复选框（获取昵称、头像、性别）----->授权　　 OpenID 当你需要访问A网站的时候,A网站要求你输入你的OpenId,即可跳转到你的OpenId服务网站,输入用户名和密码之后,再调回A网站，则认证成功。 OAuth2.0　　 OAuth是一个关于授权的开放网络协议,允许用户让第三方应用访问该用户在在某一网站上的资源，而无需提供用户名和密码给第三方。 用户打开客户端以后，客户端要求用户给予授权。 用户同意给予客户端授权。 客户端使用上一步获得的授权，向认证服务器申请令牌。 认证服务器对客户端进行认证以后，确认无误，同意发放令牌。 客户端使用令牌，向资源服务器申请获取资源。 资源服务器确认令牌无误，同意向客户端开放资源。 客户端必须得到用户的授权，才能获取令牌。OAuth2.0定义了四种授权方式： 授权码模式（authorization code） 简化模式（implicit） 密码模式（resource owner password credentials） 客户端模式

Identity Server 4是IdentityServer的最新版本，它是流行的OpenID Connect和OAuth Framework for .NET，为ASP.NET Core和.NET Core进行了更新和重新设计。认证原理基于JWT，符合JWT流程。关于Identity Server 4的介绍和使用，网上已经很多了，一搜一大堆，本篇文章就不在介绍，这里有几篇文章还不错，作为一个参考： 1，《 ASP.NET Core的身份认证框架IdentityServer4--入门 》，这篇文章是翻译的国外的一篇文章，对于入门很有启发，英文原文地址： https://www.scottbrady91.com/Identity-Server/Getting-Started-with-IdentityServer-4 2，《 使用JWT搭建分布式无状态身份认证系统 》，这篇文章介绍JWT，以及怎么不引用Identity Server 4，手动写JWT认证服务。了解一下JWT原理和代码实现即可，如果在实际项目中用，不必再“造轮子”。 3，《 IdentityServer4 中文文档与实战 》，这是按照官方文档来研究的系列文章，从入门到实践。 本篇文章使用的环境：VS2017，15.9.11，目标框架：.NET Core 2.2 在项目中使用的步骤： 1，新建一个空的解决方案 2