SpringSecurity认证授权

        Spring Security的基本工作流程。通过配置和组合不同的过滤器、认证提供者、访问规则等，可以灵活地实现各种身份验证和授权策略，以满足应用程序的安全需求。

UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。基本案例的认证工作主要有它负责

ExceptionTranslationFilter：处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException

FilterSecurityInterceptor：负责权限校验的过滤器

可以通过Debug查看SpingSecurity过滤器链中有哪些过滤器以及它们的先后顺序

认证流程

认证流程中的核心类

  Authentication接口: 它的实现类，表示当前访问系统的用户，封装了用户相关信息
    AuthenticationManager接口：定义了认证Authentication的方法
    UserDetailsService接口：加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法
    UserDetails接口：提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中
    UsernamePasswordAuthenticationFilter实现类：实现了我们最常用的基于用户名和密码的认证逻辑，封装Authentication对象
    DaoAuthenticationProvider实现类：是AuthenticationManager中管理的其中一个Provider，因为是要访问数据库，所以叫Dao

准备

        利用idea生成一个SpringBoot工程，然后加入Spring web、SpringSecurity依赖即可，直接以Debug模式启动启动类，并在下图中打入断点

1.用浏览器登录提交用户名与密码

通过浏览器提交用户名密码

2.默认的登录是用UsernamepasswordAuthencitionFilter过滤器去拦截

通过Authentication接口的实现子类UsernamePasswordAuthenticationToken封装Authentication对象，这里只有用户名和密码，还没有权限

3.调用AuthenticationManager的authenticate方法进行认证

因为AuthenticationManager中管理了一群Provider，所以调用的就是那一群Provider的authenticate方法进行认证

调用DaoAuthenticationProvider的authenticate方法进行认证

4.获得DaoAuthenticationProvider的UserDetailService对象，再调用此对象的loadUserByUsername方法查询用户信息

总体

        Spring Security是一个强大且高度可定制的身份验证和访问控制框架，用于Java应用程序的安全保护。它提供了诸多功能和特性，包括身份验证、授权、Web安全、与框架的集成以及定制扩展等。

通过Spring Security，开发者可以轻松地实现以下功能：

• 身份验证：支持多种身份验证机制，如用户名/密码、令牌、OAuth等，并与各种认证提供者无缝集成。
• 授权：提供细粒度的授权能力，基于角色、权限或其他属性来控制对资源的访问。
• Web安全：内置保护机制，用于防御常见的Web应用程序漏洞，如CSRF、XSS、点击劫持等，以及处理用户会话和安全通信。
• 与框架的集成：方便地与Spring框架的各个模块（如Spring MVC、Spring Boot、Spring Cloud）进行集成。
• 定制扩展性：采用模块化的架构，提供了丰富的扩展点和配置选项，使开发者能够根据需求自定义和扩展框架行为。

总体而言，Spring Security帮助开发者简化了应用程序的安全开发流程，提供了一套完整的安全解决方案，从而保护应用程序免受未经授权的访问和常见的安全漏洞。它是Java生态系统中非常受欢迎的安全框架之一，被广泛应用于各种类型的项目，确保应用程序的安全性和可靠性。