spring security的另一个功能是保护一些常用的恶意攻击，且默认开启。主要防护的是CSRF，Cross Site Request Forgery，跨站请求伪造。 为什么不把来自其他网站的请求禁了？ 解决方案 STP: Synchronizer Token Pattern token放在post表单里 ...

spring security主要解决三个问题： Authentication：认证。谁在访问； Authorization：权限。某用户能不能访问； protection：防止一些常见的攻击； 其实虽然spring security的authentication验证方法多种多样，但目的都是一样的——为了获取authentication。更确切地说，authenticati...

spring security主要解决三个问题： Authentication：认证。谁在访问； Authorization：权限。这个用户能不能访问； protection：防止一些常见的攻击； 前两个问题是最基础的，也是两个递进的问题——知道了谁在访问（Authentication），才能判断他有没有资格访问（Authorization）。 Authentica...

spring有webmvc和webflux，这里只介绍基于servlet的spring webmvc相关的spring security。 因为webflux我还不会:D 和servlet的关系 架构 servlet filter chain 如何注册Filter - DelegatingFilterProxy 盗版filte...

开发这么多年，spring security其实一直用的比较少。毕竟大部分情况下都是在搞定特定功能，security属于另一套东西，一般不需要，大都是涉及到前后端的时候才加上。这也是security这一功能的本质：一套呼之即来挥之即去的东西。spring security很好地诠释了这一点，给服务集成security功能还是比较优雅的。spring security的功能虽然不一定经常用，但...

在介绍Spring Web MVC的时候说过，springboot反转了调用关系，翻身做主人了。springboot启动内嵌的servlet容器，内嵌的servlet容器还和之前调用SpringMVC的方式一样，只不过这次调用的是springboot的组件，不再是SpringMVC了。 蓄意内嵌servlet容器 servlet context初始化 Serv...

SpringMVC的全称是Spring Web MVC，来自于它的module名spring-webmvc。 现在的Spring WebFlux亦如是，来自spring-webflux。 初始化DispatcherServlet 题外话：WebApplicationInitializer是怎么被发现的 hierarchy spri...

springboot是基于spring的，springboot test自然也是基于spring test的。spring-boot-test依赖基于spring-test依赖，使用spring test提供的@BootstrapWith构建自己的context，至少提供了两方面的便利： 以springboot的方式寻找自己的config class，比spring test使用@Co...

MockMvc提供了对spring mvc层的测试能力。它能够模拟server的运行过程（实际上并没有真的server在运行），处理mock的请求和响应。说白了就是：client和server本来应该是多进程的行为，现在不仅都放在一个进程里，甚至都放在了同一个线程里执行！通过MockMvc，直接在一个线程里执行servlet！ It performs full Spring MVC ...

快半年了，从第一次看spring test到现在，中间兜兜转转又做了一大堆事，补充了一大堆知识，现在回头再看，一切终于豁然开朗了！ Spring TestContext Framework的抽象 test instance TestContext TestContextManager 加载TestCont...