授權是在認證后對資源的權限控制，權限控制很多系統中都需要，但是不同的系統對于權限的敏感程度不同，因而權限的設計實現方式不同。
rbac權限模型可以分為基于角色的權限控制和基于資源的權限控制

• 基于角色的權限訪問控制（Role-Based Access Control）

  權限與角色相關聯，用戶通過成為適當角色的成員而得到這些角色的權限。這就極大地簡化了權限的管理。在一個組織中，角色是為了完成各種工作而創造，用戶則依據它的責任和資格來被指派相應的角色，用戶可以很容易地從一個角色被指派到另一個角色。角色可依新的需求和系統的合并而賦予新的權限，而權限也可根據需要而從某角色中回收。
  

授權

OAuth是一個關于授權（authorization）的開放網絡標準，在全世界得到廣泛應用，目前的版本是2.0版。

客戶端必須得到用戶的授權（authorization grant），才能獲得令牌（access token）。OAuth 2.0定義了四種授權方式。
授權碼模式（authorization code）
簡化模式（implicit）
密碼模式（resource owner password credentials）
客戶端模式（client credentials）

阮一峰講OAuth 2.0

個人oauth2demo

spring-security

spring-security-oauth2實現了oauth的框架,后來遷移到了spring-security5.X,但是去掉了server端.

spring-security利用了filter chain里的 各個filter來攔截請求，但最后會委托給AuthenticationManager認證器和AccessDecisionManager授權器。

認證流程

DaoAuthenticationProvider類里的UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);調用自定義的UserDetailsService去加載用戶信息，然后if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())){throw new BadCredentialsException}調用密碼加密器去判斷驗證密碼是否正確，否則拋出異常

授權流程

總結

以上是生活随笔為你收集整理的spring-security认证授权的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。