qq_60969145的博客

如果自定义了账号和密码，则springsecurity就不在提高账号和密码了。上面那种方式只能自定义一个账号和密码， 如何定义多个账号和密码呢。指定的账号和密码必须指定密码加密器。如果不使用密码加密器可以:我们在配置类中定义多个账号和密码后，配置文件中的账号和密码也会失效。认证过程现在是定义SecurityFilterChain 的Bean来完成认证过程，目前要是登录的话要先关闭csrf，才能登录。

获取登录后用户的信息: SpringSecurity默认会把认证成功的用户信息保存到SrcurityContext，类似于session会话。配置文件中授权，我们需要一一对资源和权限进行绑定，如果后期资源非常多，那么这里的代码就比较麻烦。如果未指定登录成功的路径，则默认跳转到 / 路径。默认登录成功后访问相应的资源，如果有该权限，则返回对应资源返回的结果，如果没有权限返回一个403错误页面。认证成功后，当前用户具有哪个权限才可以访问对应的资源。用户赋予权限之后，就不会显示角色信息。

通过源码我们发现，InmermoryUserDetailManger中的loadUserByUsername方法最核心的。而且我们自定义的类也要交于容器来管理。使用springboot + thymeleaf+ mybatis+ druid+springsecurity模拟一下从数据库中查询用户，完成授权认证。为了和security自带的User区分，这里将我们自己的实体类名字叫Users。配置文件要配置密码加密器，否者程序不知道要用那种方式来匹配密码。注意要交给Spring管理。

Json web token (JWT)，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

vue组件 ，登录成功后，将返回的token存入localStorage中