一、Spring Security：

1、简介：Spring Security 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架，提供了一套 Web 应用安全性的完整解决方案。一般来说，Web 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分。

（1）用户认证：指的是验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

Spring Security 框架支持主流的认证方式，包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。

（2）用户授权：指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如对一个文件来说，有的用户只能进行读取，而有的用户可以进行修改。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限。

Spring Security 提供了基于角色的访问控制和访问控制列表（Access Control List，ACL），可以对应用中的领域对象进行细粒度的控制。

2、结构：通过继承

org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter

实现权限配置，登录验证成功后初始化org.springframework.security.core.userdetails.UserDetails，存储当前登录用户。默认（可缺省）登录接口：/login

二、核心组件：

1、Authentication 认证：Authentication接口就是用来携带认证信息的。认证信息包括用户身份信息，密码，及权限列表等；

2、UsernamePasswordAuthenticationFilter：账号密码认证过滤器，用于认证用户信息，认证方式是由 AuthenticationManager 接口提供。

3、AuthenticationManager：认证管理器，是认证相关的核心接口，也是发起认证的出发点。实际业务中可能根据不同的信息进行认证，所以Spring推荐通过实现 AuthenticationManager 接口来自定义自己的认证方式。Spring 提供了一个默认的实现 ProviderManager。

4、ProviderManager：认证提供者管理器，该类中维护了一个认证提供者列表，只要这个列表中的任何一个认证提供者提供的认证方式认证通过，认证就结束。

5、AuthenticationProvider：认证提供者，这是一个接口，具体如何认证，就看如何实现该接口。Spring Security 提供了 DaoAuthenticationProvider 实现该接口，这个类就是使用数据库中数据进行认证。

6、UserDetailsService：根据用户名获取用户详细信息

7、UserDetails：用户的详细信息，主要用于登录认证。

8、SecurityContextHolder：是最基本的对象，它负责存储当前 SecurityContext 信息。SecurityContextHolder默认使用 ThreadLocal 来存储认证信息，意味着这是一种与线程绑定的策略。在Web场景下的使用Spring Security，在用户登录时自动绑定认证信息到当前线程，在用户退出时，自动清除当前线程的认证信息。

9、SecurityContext：负责存储认证通过的用户信息（Authentication对象），保存着当前用户是什么，是否已经通过认证，拥有哪些权限等等。

10、AuthenticationSuccessHandler：主要用于认证成功后的处理，比如返回页面或者数据。

11、AuthenticationFailureHandler：主要用于认证失败后的处理，比如返回页面或者数据。

12、AccessDecisionManager：主要用于实现权限，决定请求是否具有访问的权限。

13、AccessDeniedHandler：主要用于无权访问时的处理