Spring Security和oauth2的关系_spring security oauth2

文章目录

• 概述
• 1. 什么是Spring Security
• 1.1 配置示例
• • 1.2 spring security 基本原理
  • 1.2 Spring Security存在的问题
• 2. 什么是　oauth2
• • 2.1 那么如何实现检查token的呢
  • 2.2 jwt
  • 2.3 endpoint概念
• 3. spring cloud oauth2
• 4. sso单点登陆
• 5. 统一网关

概述

网上有很多Spring Security和 oauth2的介绍，但是对于初学者来说，上手比较复杂，本篇从原理上梳理一下两者之间的联系和区别

1. 什么是Spring Security

参见 【Spring Security】基本功能介绍

spring security 的核心功能主要包括：

• 认证 （你是谁） 通过注解 @EnableWebSecurity开启

  简单来说，就是需要登录，你需要输入用户名和密码，才能访问某个url。

• 授权 （你能干什么） 不需要通过指定的开关开启，而是通过配置来增加授权规则来生效，不增加授权规则就不生效

  授权的目的是可以把资源进行划分，例如公司有不同的资料，有普通级别和机密级别，只有公司高层才能看到机密级别的子类，而普通级别的资料大家都可以看到！ 那么授权就是允许你查看某个资源，当然，如果你没有权限，就拒绝你查看！

认证可以单独使用，即不划分资源的级别，所有人只要登录都可以查看

1.1 配置示例

public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    //配置安全拦截策略
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //链式配置拦截策略
        http
                .csrf()
1
2
3
4
5
6
7