Spring Boot

这篇文章围绕前后端分离场景下的 Spring Security + JWT 鉴权方案展开，目标是用更贴近 Spring Security 官方设计的方式实现无状态认证。正文先梳理登录和请求鉴权的整体流程，再逐步实现用户模型、JWT 工具类、登录过滤器、请求鉴权过滤器、基于 Ehcache 的 UserDetails 缓存、统一异常返回，以及方法级权限注解的使用，最后补充了 token 续期和已签发 token 作废的处理思路。

这篇文章以一个基于 Spring Boot 2、Spring Security 5 和 Thymeleaf 的 MVC 示例项目为主线，讲解了传统服务端页面场景下的权限控制实现。正文先介绍 Spring Security 的过滤器链和项目中的权限模型，再逐步配置表单登录、登出、remember-me、异常页面和方法级注解鉴权，同时补充了自定义权限注解、Thymeleaf 安全标签的使用方式，以及在 Controller 中获取当前登录用户信息的几种常见写法。

这篇文章给出了一个基于 Spring Boot、Shiro 和 JWT 的 Restful 鉴权教程，目标是在前后端分离场景下放弃 Session 和 Cookie，改用无状态的 Token 认证。正文从整体登录流程讲起，说明 token 的生成与校验方式，再逐步实现模拟用户数据源、统一返回结构、自定义异常、JWT 工具类、Shiro 的 Realm 与 Filter，以及注解鉴权和跨域支持配置，最后也点出了这套实现仍可继续改进的地方。