本文使用 Spring Security + JWT 实现一个使用用户名/密码进行身份验证，并之后通过 JWT 访问令牌进行请求和验证的前后端分离系统的服务端示例。 准备工作 数据库 这里使用数据库保存用户名和密码，具体使用的是 MySQL。创建用户表： create table user (   id int auto_increment   primary key,   username varchar(50)          not null,   password varchar(500)        …

Spring Security 默认会启用 CSRF 防护，此时需要在请求中通过参数或请求头传入 CSRF token，否则服务端会报错。因此，如果用接口调试工具调试对应的接口，就需要一些特殊设置。 首先，需要修改服务端 Spring Security 设置： @Configuration @EnableWebSecurity public class AuthenticationManagerConfig {    @Bean    public SecurityFilterChain securityFilte…

Spring Security 认证模型的核心是 SecurityContextHolder 。它包含 SecurityContext。 SecurityContextHolder SecurityContextHolder 是 Spring Security 存储已认证用户信息的地方。Spring Security 不关心 SecurityContextHolder 是如何被填充的。如果其中包含值，该值将被用作当前已认证的用户。 表示用户已认证的最简单方式是直接设置 SecurityContextHolder :…

Spring Security 的 Servlet 支持基于 Servlet Filters： Spring Security 利用 Servlet Filter 实现： 主要的组件： DelegatingFilterProxy：从 Spring 容器中加载 Filter 实例并调用 FilterChainProxy：特殊的 Filter，用于调用多个 SecurityFilterChain SecurityFilterChain：SecurityFilter 的调用链，可以包含多个以对应不同的路径规则，执行时会根…

准备工作 先创建一个最简单的 Spring Boot 项目，包含最基本的依赖： <dependency>    <groupId>org.springframework.boot</groupId>    <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency>    <groupId>org.springframe…