有时需要使用AuthenticationManager（以下简称Manager）对象，可是这个对象不是Bean，没有直接保存在Spring的Bean库中。那么如何获取SpringSecurity中的这个对象呢？在SpringSecurity5.7.0-M2之前，通常会扩展WebSecurityConfigurerAdapter（以下简称Adapter）类来自定义网络安全配置。Adapter类中有一个方法authenticationManager()可以提供Manager对象。但是从SpringSecurity5.7.0-M2开始，Adapter类就被弃用，再用此类中的authenticatio

您好，我是湘王，这是我的博客园，欢迎您来，欢迎您再来～ 经常上网的人都应该有这样的体验：很多网站或者APP只需要第一次登录时输入用户名和密码之后，后面很长一段时间内就不需要再次输入密码了。这确实是一个非常好的体验，不然每次都让人输用户名和密码就太麻烦了。Spring Security也提供了这样的功能，也就是Remember-Me（记住我）。要实现这个功能也异常简单：只需要稍稍修改一下WebSecurityConfiguration即可：//控制逻辑@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{http.aut

您好，我是湘王，这是我的博客园，欢迎您来，欢迎您再来～ 经常上网的人都应该有这样的体验：很多网站或者APP只需要第一次登录时输入用户名和密码之后，后面很长一段时间内就不需要再次输入密码了。这确实是一个非常好的体验，不然每次都让人输用户名和密码就太麻烦了。Spring Security也提供了这样的功能，也就是Remember-Me（记住我）。要实现这个功能也异常简单：只需要稍稍修改一下WebSecurityConfiguration即可：//控制逻辑@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{http.aut

您好，我是湘王，这是我的博客园，欢迎您来，欢迎您再来～ Spring Security使用MySQL保存cookie记录虽然方便，但是目前更多的主流互联网应用都是用NoSQL来保存非业务数据的，SpringSecurity也应该可以实现这个功能。之前Spring Security官方并不支持使用NoSQL来保存cookie，但这个问题对于一个爱钻研的码农来说应该只是个小CASE——毕竟只要有代码，就没有搞不定的问题——受JdbcTokenRepositoryImpl的启发，查看其源码，可以发现JdbcDaoSupport只是用来提供数据源，无实际意义，而PersistentTokenRepos

您好，我是湘王，这是我的博客园，欢迎您来，欢迎您再来～ Spring Security使用MySQL保存cookie记录虽然方便，但是目前更多的主流互联网应用都是用NoSQL来保存非业务数据的，SpringSecurity也应该可以实现这个功能。之前Spring Security官方并不支持使用NoSQL来保存cookie，但这个问题对于一个爱钻研的码农来说应该只是个小CASE——毕竟只要有代码，就没有搞不定的问题——受JdbcTokenRepositoryImpl的启发，查看其源码，可以发现JdbcDaoSupport只是用来提供数据源，无实际意义，而PersistentTokenRepos

您好，我是湘王，这是我的博客园，欢迎您来，欢迎您再来～ 有时某些业务或者功能，需要在用户请求到来之前就进行一些判断或执行某些动作，就像在Servlet中的FilterChain过滤器所做的那样，SpringSecurity也有类似机制。SpringSecurity有三种增加过滤器的方式：addFilterBefaore()、addFilterAt()和addFilterAfter()，也可以disable掉默认的过滤器，例如：1、http.logout().disable();或者http.headers().disable();2、用自定义过滤器http.addFilterAt(newMyL

您好，我是湘王，这是我的博客园，欢迎您来，欢迎您再来～ 有时某些业务或者功能，需要在用户请求到来之前就进行一些判断或执行某些动作，就像在Servlet中的FilterChain过滤器所做的那样，SpringSecurity也有类似机制。SpringSecurity有三种增加过滤器的方式：addFilterBefaore()、addFilterAt()和addFilterAfter()，也可以disable掉默认的过滤器，例如：1、http.logout().disable();或者http.headers().disable();2、用自定义过滤器http.addFilterAt(newMyL

接下来几个章节，将逐个介绍身份验证流程中主要接口接口描述UserDetails代表SpringSecurity所看到的用户GrantedAuthority定义应用程序目的范围内允许用户执行的操作(读、写、删除等)UserDetailsService表示用于按用户名检索用户详细信息的对象UserDetailsManager一个较为特殊的UserDetailsService接口。除了按用户名检索用户外，它还可以用于更改用户集合或特定用户PasswordEncoder指定如何对密码进行加密或哈希化，以及检查给定的已编码字符串是由与明文密码匹配本文将一起学习相对独立的PasswordEncoder。一

接下来几个章节，将逐个介绍身份验证流程中主要接口接口描述UserDetails代表SpringSecurity所看到的用户GrantedAuthority定义应用程序目的范围内允许用户执行的操作(读、写、删除等)UserDetailsService表示用于按用户名检索用户详细信息的对象UserDetailsManager一个较为特殊的UserDetailsService接口。除了按用户名检索用户外，它还可以用于更改用户集合或特定用户PasswordEncoder指定如何对密码进行加密或哈希化，以及检查给定的已编码字符串是由与明文密码匹配本文将一起学习相对独立的PasswordEncoder。一

过滤器链分析  提起SpringSecurity的实现原理，很多读者都会想到过滤器链。因为SpringSecurity中的所有功能都是通过过滤器来实现的，这些过滤器组成一个完整的过滤器链。那么，这些过滤器链是如何初始化的？我们前面反复提到的AuthenticationManager又是如何初始化的？通过前面章节的学习，相信读者己经有了一些认识，本章我们将从头开始，分析SpringSecurity的初始化流程，同时再通过六个案例来让读者深入理解并且学会如何制作过滤器链。由于初始化流程相对复杂，因此我们没有选择在一开始就讲解SpringSecurity初始化流程，而是放到本节。当读者对于Sprin