spring security中可以通过表达式控制方法权限： Spring Security中定义了四个支持使用表达式的注解，分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查，后 ...

在介绍Spring Securiry之前，我们试想一下如果我们自己去实现一个安全框架，我们需要包含哪些功能： 我们需要对登录接口或者一些不需要权限的接口放行，同时我们需要对某些接口进行身份认证，例如：在基于jwt的认证体系中，我们需要校验token是否合法，token合法我们才会放行 ...

在最新的 Spring Security 5发布版本中, 出于安全性的考虑调整了PasswordEncoder的实现与使用策略. 1.以前常用的实现 StandardPasswordEncoder, MessageDigestPasswordEncoder ...

看别人的代码的时候看到用了一个role属性，百度了一下，很有用，记录下来 role是用来增强语意，简单的例子 定义一个form，语义说明这个标签是一个button，但是实际的效果还是 对于一些没有特别的标签特性的如div，span来说，这个role就是一种定性的作用了，div ...

org.springframework.security.crypto.bcrypt; import java.security.SecureRandom; imp ...

CookieClearingLogoutHandler实现LogoutHandler 接口 在退出登录时实现清除指定“name” 的cookie。 例：清除name为Authorization的c ...

一、密码存储历史 多年来，用于存储密码的标准机制已经发展。最初，密码以纯文本格式存储。假定密码是安全的，因为数据存储密码已保存在访问它所需的凭据中。但是，恶意用户能够使用SQL Injection这样的攻击找到方法来获取用户名和密码的大型“数据转储”。随着越来越多的用户凭证成为公共安全专家 ...

最近看到项目中使用到了shrio和spring security,这两者都是对权限的控制与管理，为了了解两者的区别，查阅了相关资料，进行了一个整理: Apache shrio是Java的一个安全框架，但是shrio框架的一大特点强大而灵活并且简单，容易使用，相比spring security框架 ...