基本解读
身份认证和访问控制(Authentication and Access Control)
- 应用程序安全性差不多可以归结为两个独立的问题:身份认证(你是谁)和授权(authorization)(你可以做什么?)。
- 有时人们会说“访问控制”而不是“授权”,这可能会造成困惑,但是以这种方式思考可能会有所帮助,因为“授权”在其他地方又有其他含义。
- Spring Security的体系结构旨在将身份认证与授权分开,并且具有许多策略和扩展点
身份认证
- 如果认证成功,则返回一个Authentication对象(通常将其authenticated属性设置为true)。
- 如果认证失败,则抛出AuthenticationException异常。
- 如果无法判断成功或失败,则返回null。