单体应用:session+cookie方式实现权限管理
分布式环境:多个Tomcat,Nginx做负载均衡,无法实现session共享
ip轮询(session黏贴):每次请求,固定机制,都分发到第一台服务器,存储session的服务器一旦挂掉,其他服务器无法使用。
session复制:各个节点都复制session,但是session比较重,一旦请求早于复制过程,就会出现登录异常问题。
session集中存储:使用三方的redis。
基于无状态token方式:token保存用户所有信息,返回到客户端,存储到cookie中。目前最优方法,但是用户信息存储到客户端,不安全。解决方案:增加开发授权平台,在客户端和Nginx中间增加一层。
SpringSecurity框架
认证
1、创建maven工程,引入依赖
2、spring配置容器
3、加载springconfig。不需要拦截器
4、自带loginin的认证页面,不需要再开发。
5、定义安全配置,继承webSecurityConfigurerAdapter
定义用户信息服务(查询用户信息)。暂时基于内存查询
InMemoryUserDetailsManage manage=new InMemorUserDetailsManaeger()
设置密码编码器,定义比对方式
增加安全拦截机制(重要)。
6、springSecurity初始化
授权
创建用户时:配置权限
SpringCloud Security Oauth2
https://www.bilibili.com/video/BV14T4y1A7oz?p=48&spm_id_from=pageDriver
