Spring Security 是什么？

一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方式的安全框架

应用级别的安全主要分为“验证( authentication) ”和“(授权) authorization ”两个部分。 “ Authentication ”指的是建立规则( principal )的过程。规则可以是一个用户、设备、或者其他可以在我们的应用中执行某种操作的其他系统。" Authorization "指的是判断某个 principal 在我们的应用是否允许执行某个操作。在 进行授权判断之前，要求其所要使用到的规则必须在验证过程中已经建立好了。这些概念是通用的，并不是只针对"Spring Security"。

框架原理

众所周知，想要对对 Web 资源进行保护，最好的办法莫过于Filter，要想对方法调用进行保护，最好的办法莫过于AOP。所以 Spring Security 在我们进行用户认证以及授予权限的时候，通过各种各样的拦截器来控制权限的访问，从而实现安全。

主要过滤器：

• WebAsyncManagerIntegrationFilter
• SecurityContextPersistenceFilter
• HeaderWriterFilter
• CorsFilter
• LogoutFilter
• RequestCacheAwareFilter
• SecurityContextHolderAwareRequestFilter
• AnonymousAuthenticationFilter
• SessionManagementFilter
• ExceptionTranslationFilter
• FilterSecurityInterceptor
• UsernamePasswordAuthenticationFilter
• BasicAuthenticationFilter

框架的核心组件

• SecurityContextHolder：提供对SecurityContext的访问
• SecurityContext：持有Authentication对象和其他可能需要的信息
• AuthenticationManager：其中可以包含多个AuthenticationProvider
• ProviderManager：对象为AuthenticationManager接口的实现类
• AuthenticationProvider：主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
• Authentication：Spring Security方式的认证主体
• GrantedAuthority：对认证主题的应用层面的授权，含当前用户的权限信息，通常使用角色表示
• UserDetails：构建Authentication对象必须的信息，可以自定义，可能需要访问DB得到
• UserDetailsService：通过username构建UserDetails对象，通过loadUserByUsername根据userName获取UserDetail对象 （可以在这里基于自身业务进行自定义的实现 如通过数据库，xml,缓存获取等）

自定义安全配置的加载机制

自定义了一个 Spring Security 安全框架的配置类 继承 WebSecurityConfigurerAdapter，重写其中的方法 configure。